プロセス思考すなわち、業務などのプロセスからリスクを捉えるように、情報セキュリティ対策を行うことが重要です。

プロセス思考

プロセス思考とは、仕事などが行なわれているプロセス、つまり業務や情報の流れで捉えて考えるということです。例えば、営業プロセスを例にすると、営業活動で、パンフレットを使って製品やサービスの内容を顧客に説明し→引き合いがあれば→見積の提示や提案を行ない→その見積や提案が了承されれば受注につながる→受注した後は、商品やサービスを納入し→請求→代金の回収という流れになります。

このようなプロセスは、業務マニュアルに記載していることが多いので、それを参考にすると効率的にプロセスを把握することができます。プロセス図を作成したら、どこに、どのようなリスクがあるのか、リスクの大きさはどの程度かを分析し、リスクの大きさに応じて、セキュリティ対策を講じることになります。業務プロセスは、情報セキュリティの基礎となるものなので、しっかりと把握する必要があります。

例外処理に注意

プロセス分析を行なう際には、通常行なわれる処理だけではなく、通常とは異なる流れで行なわれる例外処理にも注意しなければなりません。この点について、アクセス権付与を例に挙げて説明します。人事情報システムとアクセス権限の付与が連携した仕組みになっていれば、人事異動に伴ってアクセス権が自動的に付与されたり、削除されたりします。

例えば、ある従業員が営業部門から経理部門に異動すれば、顧客情報システムにアクセスする必要がなくなるので、自動的に顧客情報システムのアクセス権が削除され、その代わりに会計情報システムへのアクセス権が付与されます。しかし、派遣社員のように人事情報システムの対象となっていない者については、顧客情報システムへのアクセス権を別途付与する仕組みが設けられていることがあります。これが例外処理と言われるものです。

派遣社員の業務(契約)期間が終了した場合には、顧客情報システムへのアクセス権を削除しなければいけませんが、それを失念してしまう可能性があります。それは、業務を開始する際には、アクセス権の付与が必要となるのでアクセス権の設定を忘れることはほとんどありませんが、業務が終了した場合には、アクセス権を削除しなくても業務には支障がないからです。このように、例外処理は情報セキュリティ対策の盲点になるので、業務プロセスの分析においては、例外処理に注目することが大切です。

変更管理に注意

情報システムの運用段階では、保守作業が必ず発生します。プログラムを改修したときなどには、必ずプログラム変更の手続をとらなければなりません。システム変更を行なうとプログラムを変更することになるので、事前に影響範囲を分析して、必要なプログラム修正などを行なった後に、その処理が正しく行なわれることを確認してから本番のシステムに移行します。

その際、正常に移行されたかどうかの確認も行ないます。プログラム変更のミスによって、請求書の金額ミスが発生したり、ウェブサイトにセキュリティホールが発生して情報が外部から見読できる状況になってしまったりする事故が多く発生しているので、注意が必要です。また、データを通常の処理では修正できない場合には、データ変更を直接行なうケースがあります。

このような変更は、誤りがあった場合の影響が大きいので、IT部門などでは特に注意して管理(運用)を行なう必要があります。このような直接的なデータの変更の管理は、完全性、機密性、可用性の確保の視点から、情報セキュリティ上において重要な課題になっているので、変更管理プロセスのリスクについても十分に検討しなければなりません。