情報セキュリティの分野において、台湾の産業では一般的にISO 27001を主な情報セキュリティ管理基準として採用しています。産業の特性(半導体・自動車・電子・金融)や顧客の要求(例:Apple・tesla)に応じて、特定のセキュリティ基準への準拠が要求または推奨される場合があります。
| 規格/基準 | 適用対象 | 一般的なシナリオ |
|---|---|---|
| ISO 27001 | すべての製造業 | 基本的な情報セキュリティマネジメントシステム(ISMS)の構築、入札/サプライチェーン要件 |
| TISAX | 自動車サプライチェーン | 欧州自動車ブランドの監査 |
| CMMC | アメリカ軍事・航空宇宙産業 | アメリカ国防関連のサプライヤー |
| NIST CSF | 科学技術/電子機器製造 | 国際的な大手企業の要求 |
| ISO 27701 | 個人情報を取り扱う者 | 顧客/サービス情報関連の取扱者 |
| ISO 22301 | 半導体・精密機器産業 | 事業継続性要件 |
| 個人情報保護法(個資法) | すべての産業 | 個人情報の処理には規定が適用される |
情報セキュリティ監査の重点は業界ごとに若干異なる場合もありますが、全ての業界において個人情報を取り扱う企業は個人情報保護法に準拠する必要があります。最近では、台湾の小売業界に対しては「小売業個人情報セキュリティガイドライン」の遵守が求められており、金融業界では「金融業ゼロトラスト導入ガイドライン」に準拠する必要があります。
ISO 27001:2022 8.12 制御措置にDLPの項目を追加
情報漏洩は情報セキュリティにおける最大の脅威の一つとなっています。ISO 27001:2022の改訂版では、8.12 データ / 情報漏洩防止の制御措置が追加されました。この措置は企業にDLPの導入を推奨するもので、X-FORT自体はDLPを主要機能としており、データ保護・資産管理・ユーザー行動記録などの機能と組み合わせることで、ISO 27001:2022で定められた12種類の制御措置に準拠できます。
製造業の監査の重点:知的財産とサプライチェーンの通信管理に焦点
ISO 27001監査員は、異なる業界で監査を実施する際、業界の特性とリスクの背景に応じて監査の重点を調整します。以下では、X-FORTを導入した顧客がISO 27001監査員に対応するための実際の取り組みを紹介します。
以下は、複数の製造業でX-FORTを導入する際に、監査員から最も頻繁に監査される項目について事例を交えて紹介します。
A 5.14 情報転送:組織内および組織と他の団体との間で、あらゆる種類の通信設備において、正式な情報転送規定・手順または協定を整備する必要があります。この制御措置は、主に情報転送規定が策定されているかどうかを確認するものです。
例:外付けハードディスク・メール・メッセージアプリ・紙の書類の受け渡しなど
顧客の実際のコンプライアンス対応:各データ通信チャネルに応じて、X-FORTを活用して以下のポリシーを策定し、要件を満たすようにしています。
- 外付けハードディスクはデフォルトで無効化、使用するには管理者の承認を申請して、管理者が会社登録済みのデバイスを配布する必要がある。データを書き込むと自動的に記録され、物理的なファイルがバックアップされる。
- 紙の印刷にはデフォルトでウォーターマーク(日付・部署・アカウント名を含む)が印刷され、会社所有のプリンターでのみ印刷可能。個人用プリンターとの接続は不可。
- ファイルのアップロードは、会社内部システム(ERP・HR・CRM・SCMなど)のみブラウザ経由で可能。他のウェブサイトへのアップロードは事前に許可が必要。
- クラウドストレージが無効化され、ウェブインターフェースやローカル同期ツールのいずれにおいてもデータ転送できない。
- メッセージアプリはデフォルトで無効化、業務上の必要性がある場合は使用許可を申請し、通信内容は記録を必須とする。
A 8.1 ユーザー端末デバイス:ユーザー端末デバイスを通じて保存・処理またはアクセス可能な情報を保護する必要があります。
エンドポイントデバイス(例:PCやノートパソコンなど)に対して、セキュリティ設定・データ暗号化・マルウェア対策・改ざん防止・エンドポイントアクセス制御およびデバイス紛失時の対応措置を含むメカニズムを実施し、デバイス内の情報の機密性・完全性および可用性が適切に保護されるようにします。
- X-FORTを使用してクライアントのBitLockerを有効化し、ハードディスク全体を暗号化する。特にノートPCの場合、これによりハードディスクが取り外されることで情報漏洩が発生するのを防ぐ。
- FileLockerを使用してPC内のファイルを暗号化処理し、不正なアクセスや情報漏洩を防ぐ。
A 8.15 ログ記録: イベント・異常・エラーおよびその他の関連するログを生成・保護・保存および分析します。
顧客の実際のコンプライアンス対応:上記A5.14の情報通信は、使用禁止だけでなくログ記録機能もサポートしています。
- 書き込み可能でデータをアップロードできるデバイスはログ記録を有効化する。
例:外付けハードディスク・MTPデバイス、 印刷、ブラウザ、インスタントメッセージングソフトウェア - ファイル操作ログ記録を有効化し、ユーザーがPC上で実行したファイル操作の履歴を記録します。
例:ネットワークドライブからローカルPCにファイルをコピーして名前を変更した後、外付けドライブに書き出すといった一連の操作を詳細に記録 - 上記の記録を定期的にレポートとして作成し、システム管理者および上級管理者に送付する。
- データベースの定期的なバックアップを実施し、顧客向けにデータベースのバックアップ復元に関する操作マニュアルを提供する。
小売業の監査重点:主に顧客の個人情報を保護すること
小売業で最も優先的に保護すべきデータは顧客の個人データであり、特に会員制度を運営する企業は大量の会員個人データを保有しています。これらの情報が漏洩した場合、詐欺グループに悪用されるリスクが高く、企業信頼性と顧客の権利に重大なリスクをもたらします。したがって、情報セキュリティ監査において、個人情報保護の要件は重要な重点項目です。
個人情報は企業内において、以下の2つの形式で存在することが一般的です。
- CRMなどの顧客管理システムに保存されたデータベース
- ExcelやPDF などのファイル形式でデバイスまたはネットワークドライブに保存
上記の種類のデータには異なる保護措置が必要となります。以下では、『小売業個人情報ファイル安全管理規則』を基盤に、実務導入事例を交えて説明します。
7.4 個人情報を送信する際、送信方法に応じて適切なセキュリティ対策を実施しているか
この要件は、ISO 27001の制御項目 A.5.14「システム間での安全な情報の転送」と一致性が高いです。企業が個人情報を送信する際は、紙媒体・メールまたはネットワークのいずれの方法を使用する場合でも、送信方法に応じた適切な保護措置を講じる必要があります。ファイルの書き込みに対するアクセス制御とログ記録の管理に加え、個人情報送信の保護を強化するためにX-FORT のコンテンツフィルタ機能と組み合わせることも可能です。
ユーザーがファイルを外部記憶デバイスに保存したり、メッセージアプリで添付ファイルを送信したり、メールの添付ファイルとして送信したり、ドキュメントを印刷したりする際、システムは自動的にコンテンツに個人情報が含まれていないかを確認します。ファイル内の個人情報の量が設定されたリスク閾値を超える場合、その送信行為は自動的にブロックされます。閾値に達していなくても個人情報を含むファイルはすべて記録され、追跡可能性と事後監査能力を確保します。
7.5 暗号化が必要な個人情報について、収集・処理または利用の際、適切な暗号化措置が講じられているか
個人情報の暗号化が必要な場合、企業は収集・処理・利用の全過程において、データが常に暗号化保護された状態であることを確保する必要があります。暗号化が必要な個人情報は、処理プロセスの全段階で暗号化制御を徹底的に実施する必要があります。
例えば、File Lockerを使用してPC上の個人情報ファイルを暗号化することで、CRMから個人情報ファイルをエクスポートした場合でも、端末デバイスに保存されると自動的に暗号化されます。新しいファイルとして保存した場合でも同様の保護が適用され、個人情報が保存および使用の段階を通じて常に暗号化された状態を維持します。
本記事で挙げた事例は実務経験に基づいたもので、多くの場合は企業が監査後に改善措置を実施した結果に生じた機能要件です。各企業の事業形態や業務プロセスには若干の差異がありますが、X-FORTの実際の適用事例から観察すると、その制御の中心は上記の保護措置を概ねカバーしています。