オフショア情報セキュリティリスク監視と抜け穴
オフショア開発者が直面する3つのセキュリティリスク
(1)機密性 Confidentiality を脅かすリスク
(2)完全性 Integrity を脅かすリスク
(3)可用性 Availability を脅かすリスク
分散開発を余儀なくされるオフショア開発プロジェクトでは、いつにも増して厳格な情報セキュリティリスク監視が求められます。代表的な情報セキュリティリスクの監視方法を3つ挙げます。
(1) アンケート実施
日本を含む全ての開発拠点でアンケートを実施します。内容は具体的であること。対応にレベル(段階)があるものは対応レベルも回答できるようにします。
[例] アンチウィルスソフトの最新ファイルは更新しているか?
a.各個人が手動で更新している。(レベル1)
b.各個人が自動更新設定を行っている。(レベル2)
c.管理者がサーバ経由で自動更新を行っている。(レベル3)
d.更新していない
(2) 立ち入り検査
オフショア拠点を訪問し、アンケートを元にセキュリティに関する情報資産の管理方法、入退室等の物理的管理方法、人的管理方法、管理体制等の情報セキュリティの遵守状況を、開発環境や証跡の確認、ヒアリングを実施します。
(3) 定期的な会議
情報セキュリティ対策会議などを定期開催します。
■問いかけ
上記3つの施策を柱とする万全の情報セキュリティ対策を講じてきたつもりのある日系企業では、次のような困った状況が起きてしまいました。
中国拠点では、有志が集まり、熱心に情報セキュリティ勉強会を開いています。ところが、この日の講師は、勉強会発起人のお友達で完全なる部外者であることが判明。発起人曰く、「彼が最も技術に詳しいので講師役として招いた」と。勉強会で使われる資料は社外秘モノです。
あなたが、情報セキュリティ責任者なら、この状況を目の当たりにして、どう対応しますか?
The comments to this entry are closed.
Comments