2つ目は、ある企業が重要情報を含んだシステムの運用を外部委託しており、委託先がその一部運用を再委託している状況下で発生したインシデントだ。大まかな経過は以下の通り(図2)。
主な原因は、再委託先に対する重要情報へのアクセス権限管理の不備だ。この例のように再委託先の人員の内部不正によって、情報漏えいのインシデントが発生するケースがある。委託元は内部不正を防止する観点で、情報セキュリティの要求事項の中で、委託先およびその先の人的管理について明示すべきだ。その実施状況を定期的、継続的に確認することも必要になる。
ID管理の観点では、委託先/再委託先のアカウントとアクセス権を実運用に即した権限にする必要がある。最低限業務に必要な権限に絞り、一部の人に権限が集中しない形に設定し、定期的に見直す。アクセスログは確実に取得し、一定期間保管する。管理対象が多い場合はID管理製品、ログ収集保管管理製品を導入するのも一案だ。
生活者の生成AI利用動向 10代後半はすでに5割近くが経験――リクルート調査
テキスト型生成AIサービスの利用経験者の割合は若い年代ほど高く、特に10代後半はすでに5...
2023年のSNS炎上総数は189件、炎上元の媒体1位は「X」――コムニコ「炎上レポート」
コムニコが「炎上レポート」2023年版を公開しました。
今度の「TikTok禁止」はこれまでとどう違う?
米国ではまたしてもTikTok禁止措置が議論されている。これまでは結局実現に至らなかった...