2つ目は、ある企業が重要情報を含んだシステムの運用を外部委託しており、委託先がその一部運用を再委託している状況下で発生したインシデントだ。大まかな経過は以下の通り(図2)。
主な原因は、再委託先に対する重要情報へのアクセス権限管理の不備だ。この例のように再委託先の人員の内部不正によって、情報漏えいのインシデントが発生するケースがある。委託元は内部不正を防止する観点で、情報セキュリティの要求事項の中で、委託先およびその先の人的管理について明示すべきだ。その実施状況を定期的、継続的に確認することも必要になる。
ID管理の観点では、委託先/再委託先のアカウントとアクセス権を実運用に即した権限にする必要がある。最低限業務に必要な権限に絞り、一部の人に権限が集中しない形に設定し、定期的に見直す。アクセスログは確実に取得し、一定期間保管する。管理対象が多い場合はID管理製品、ログ収集保管管理製品を導入するのも一案だ。
Copyright © ITmedia, Inc. All Rights Reserved.
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
2024年に視聴者が検索したテレビCM 2位は中国のあのEVメーカー、1位は?
2024年にテレビCMを通して視聴者が気になりWeb検索したものは何だったのか。ノバセルが発...
Googleの広告収益成長が鈍化、中国のアレが原因?
YouTubeなどのプラットフォームの成長率は、米国の選挙関連支出の急増にもかかわらず低迷...
OutbrainがTeads買収を完了、新生Teadsとして広告プラットフォームを統合へ
新会社はブランド広告とパフォーマンス広告の両方を最適化し、広告主により良い成果を提...