セキュリティ事故を未然に防ぐにはセキュリティについての知識が不可欠だ。特に財務データなどを扱う会計人は高いセキュリティ意識が求められる。そんな会計人が最低限知っておきたいセキュリティ用語を紹介する。
内部統制整備や個人情報保護法への対応から現代の会計人はセキュリティについての知識が不可欠だ。会計システムは企業の機密データを扱うため、セキュリティ攻撃の対象にもなりやすい。また、個人のPCに重要なデータを保存することもあり、情報漏えいなどのリスクは高まっている。会計人が有効なセキュリティ対策を行うために最低限知っておきたいIT用語を集めた。
ネットワーク上の大量のコンピュータから一斉に特定のサーバへ情報を送出し、負荷をかけることでそのコンピュータの機能を停止させてしまう攻撃。攻撃を実行するコンピュータは、実際の管理者や利用者ではなく外部の第三者によるものが多く、踏み台として使われる。
会計の視点 →会計システムで利用するマシンへの攻撃は企業の会計処理を停止させることもあり、注意が必要。
不正アクセス監視システム、侵入検知システムの意味。ネットワークを流れるパケットを監視し、不正アクセスと思われるアクセスを発見した際に、警告を表示するとともに通信記録を収集し保存する。ネットワーク型監視(ネットワーク上の情報を監視)とサーバ型監視(サーバの入出力情報を監視)がある。
リスク評価により必要なセキュリティレベルを決定・資源配分・システム運用を進めること。機密性・完全性・可用性をバランス良く維持改善することを基本コンセプトとする。ISO/IEC 27001ではプロセスアプローチに基づくPDCAサイクルを確立して情報セキュリティレベルを向上させることを目指している。
会計の視点 →ISMSの有効性評価に当たっては、費用対効果の見極めが重要である。
インターネットを介して発生した日本国内のサイトでの侵入やサービス妨害などのコンピュータセキュリティ事故の発生について、報告受付、対応の支援、発生状況把握、手口の分析、再発防止対策の検討や助言などを技術的な立場から行なっている民間の組織。特定の政府機関や企業から独立した組織。
会計の視点 →会計システムで発生したセキュリティ事故もセキュリティ管理者の判断で届け出を行う。
公開鍵基盤/公開鍵暗号基盤の意味。企業間取引などインターネットを利用する際のなりすましや盗聴、改ざんといったリスクに対して、電子署名と暗号技術により安全な通信を確保する基盤。PKIの活用により、電子メール送受信や電子商取引などインターネットの機密性を大きく促進した。
会計の視点 →社外からの会計システムの利用には必須の技術である。
JIS Q 15001に適合して、個人情報について適切な保護措置を講ずる体制を整備している事業者が使用できるマーク。Pマークの付与認定は法人単位で行われ、第三者による文書や現地審査を通じて行われる。付与された団体は実効性のある個人情報保護体制を整備・運用しているとアピールできる。
Webサイトにリクエストを送るHTTPのパラメータにSQLの命令を含ませ、外部の第三者がデータベースの情報にアクセスし、情報の不正閲覧や改ざんなど不正操作を行う攻撃手法。データベースのテーブルやフィールドの項目名が指定できれば操作できてしまう。
会計の視点 →会計システムのWeb化やSaaS化などの際は注意が必要。
SQLインジェクションやクロスサイトスクリプティングなど、Webアプリケーション上の脆弱性をカバーする装置。Webアプリケーションのやり取りを把握・管理することによって不正侵入を防御でき、アプリケーションのレベルで管理を行うことが特徴。
会計の視点 →アプリケーションとして利用される会計システムへの不正侵入などを防御する手段として有効。
悪意を持ったユーザーがJavaScriptなどのスクリプトをWebサイトのフォームなどに入力した際、内容がそのままHTMLに埋め込まれてほかのコンピュータで実行されてしまう脆弱性。情報漏えいやアクセス権限が奪われる危険性があり、そのほかのセキュリティ事故につながるケースも多い。
会計の視点 → 電子受発注システムと会計データの連動がある場合、適切なチェック処理が必要。
暗号化方式の一種。誰でも入手できる公開鍵で暗号化した情報を、暗号文の受信側にしか分からない秘密鍵で復号する仕組み。同じ鍵で暗号化/復号を行う共通鍵暗号方式と比べ、相手の数に関係なく公開鍵が1つでよく、鍵の管理が容易で安全性が高いとされる。
プライバシーの保護を目指す制度として2005年に法制化され、5000件を超える個人情報データベースを事業に用いている事業者(個人情報取扱事業者)に一定の報告義務や刑事罰を設定した。法制度により一定の不正抑止効果を得たが、国勢調査や安否情報提供の障害になるという問題も抱えている。
閲覧を認めないWebサイトなどに社内からアクセスできないようブロックするソフトウェア。クライアントPCもしくは内部サーバにインストールし、URLのリストなどに応じて規制をかける仕組み。教育・倫理上の配慮や、会社内での行動規範の問題を背景に利用されている。
会計の視点 →悪意のあるサイトへの会計情報流出リスクの低減策としても効果がある。
会社の情報セキュリティに関する基本的な考え方を文書化したもの。セキュリティの範囲や管理方法、リスクに対する対処方針などを文書化する。社内の責任範囲が明確になるほか、従業員のセキュリティ意識を高めるというメリットもある。初期文書の作成には多くの時間と社内調整を要する。
会計の視点 →全社的な統制の一部としてIT統制評価の対象になる。
ソフトウェアやネットワークなどにおける脆弱性や欠陥のことを、抜け穴(ホール)に例えて使う。インターネットの時代になってセキュリティホールの影響は無視できないものとなった。既知のセキュリティホールはソフトウェアのアップデートやバグフィックス(不具合改善)によって解消される。
会計の視点 →OSやソフトウェアのバージョンを最新に保つことがセキュリティホールへの対処として有効。
利用者から「社会的な」(social)手段でパスワードなどの重要な情報を入手する不正行為。電話で本人になりすましたり、背後からパスワード入力画面を覗き込んだりするのが代表的。セキュリティ方針や機密情報の管理が徹底していないと、このような行為の蔓延につながるため、不断の対応が重要となる。
会計の視点 → 会計データにアクセスするためのパスワード情報は特に厳格に管理する必要がある。
現実に行われる署名行為の正当性を、電子的な手段で担保する方法。本人であることの確認や対象文書が改ざんされていないことを証明するなどの手段があり、多くは専用のツールによって実現される。公開鍵暗号方式に基づくデジタル署名は代表的な電子署名技術である。
会計の視点 → 日本でも電子署名による文書を法的に有効なものとして位置付ける流れができつつある。
インターネットなどの外部ネットワークから組織内のコンピュータネットワークへの侵入や、データ等の盗み見・改ざん・破壊などの不正行為を防止するためのプログラム。ネットワークの境界に配置し、監視と不正なアクセスの検出・遮断を行う。多くはソフトウェアで提供されるが、高い性能を要求する場合専用のハードウェアが用いられる。
ネットワークの利用者を悪意で誘導し、会員番号や口座情報などの重要なID・パスワード情報を奪取して不正利用する詐欺行為。個人情報入力画面が偽サイトであったりURLが偽装されたりなど手口は多岐に及ぶ。利用するサービスの信頼性をその都度確認するなど、不断の対応が求められる。
会計の視点 →ネットバンキングなど業務に重要な影響を及ぼすサービスについては特に慎重な対応が必要。
コンピュータ資源への不正なアクセス(他人のIDやパスワードを勝手に使い、他人になりすましてログインするなど)やそれを助長する行為を規制する法律として2001年に施行された。不正アクセス行為者に対する罰則と、防御者に対するアクセス制御措置の両面を義務付けている。
malicious software(悪意のあるソフトウェア)の略語で、コンピュータ、サーバ、ネットワークなどに不正な動作を起こして被害を起こすソフトウェアの総称。ウイルスやワームなどを含む広い概念を指す用語として使われる。マルウェア対策としては対策用ソフトウェアの利用やセキュリティ運用業務の徹底などがある。
会計の視点 →重要な会計データが被害に遭わないように日ごろから十分な対策を講じておきたい。
公認会計士、監修・執筆、クレタ・アソシエイツ
執筆、日本オラクル
次世代生成AIで優位に立つのはMeta? Google? それともマスク氏のあの会社?
生成AI時代において、データは新たな金と言える。より人間らしい反応ができるようになる...
GoogleからTikTokへ 「検索」の主役が交代する日(無料eBook)
若年層はGoogle検索ではなくTikTokやInstagramを使って商品を探す傾向が強まっているとい...
B2B企業の市場開拓で検討すべきプロセスを定義 デジタルマーケティング研究機構がモデル公開
日本アドバタイザーズ協会 デジタルマーケティング研究機構は、B2B企業が新製品やサービ...