Kinmuu(キンムー)では、お預かりする情報の重要度に関係なく、その取り扱いや保護について、様々な取り組みを行っています。すべてを事細かにご紹介することは別のセキュリティリスクを生んでしまうため控えますが、ここではいくつかのポイントでその取り組みについてご紹介しています。
2つのリスクコントロール
個人情報保護において重要なのは2つのリスクをどのようにしてコントロールしていくかと考えています。2つのリスクとはシステム的なリスクと、人為的なリスクです。前者はシステム、プログラムに起因するリスク、後者は、それを開発・運用する人に起因するリスクです。
例えば、いくらシステムとして堅牢であっても、それを運用する人の意識が低かったり、不特定多数がその情報にアクセスできたりするような体制では個人情報保護上は非常にリスクが高い状態となってしまいます。逆に、開発や運用スタッフの人為的リスクは低くても、システムとしての設計レベルで問題があれば、思わぬかたちで攻撃を受けてしまうことにつながります。どちらか一方だけでは脆く、システム面、人為面の両面でいかに強固な体制を維持していけるかが重要だと言えます。
システム的なリスクの軽減
システム的なリスク対策としては、WEBアプリケーションに求められるセキュリティ対策を継続的に実施・更新していくことに尽きます。システムを構成する様々なソフトウェアを取り巻く環境は目まぐるしく変化するため、システムを作り上げた瞬間から否応なしに劣化がはじまります。作り上げたときには見つかっていなかった脆弱性が見つかることも珍しくありません。こうした脆弱性対策のために継続的にシステムや関連するソフトウェアをアップデートしていくことが重要です。
Kinmuuでは、奇をてらった構成をできる限り避け、システム開発におけるベストプラクティスにできる限り準拠するようにしています。また、システムやソフトウェアの継続的なアップデートの優先順位を高く設定し、常にシステムが健全な状態を維持できるように取り組みを続けています。わかりやすい変化のない地味な取り組みではありますが、こうした地道な作業に愚直に取り組んでいけるかがとても重要だと考えています。
人為的なリスクの軽減
人為的なリスク対策としてはまず、完全自社開発のため自社以外の場所からの漏洩のリスクがありません。協力会社や下請け会社が関与するプロジェクトでは、開発に必要なために様々な権限が第三者に付与されることになりますが、そういった第三者の監督はあくまでそれぞれの会社に委ねられており、いくら書面を交わしていたとしても不透明です。つまるところ性善説に依拠する状態になってしまい、情報漏えいのリスクは常に高い状態にとどまってしまいます。
完全自社開発では、そういった強い権限を持つ人間を社内に限定することができます。また、関与する人間や、作業を行う場所も限定できるためリスクコントロールが容易になります。「把握していなかった」という事態を避けることができます。
Kinmuuでは、こういった完全自社開発によるリスク低減に加えて、システムに対して強い権限を持つスタッフはもちろん、作業に使用する端末についても極限まで限定することで、よりセキュリティ強度を高めています。自社スタッフであっても、本プロジェクトに関係のないスタッフは何も見ることができませんし、何も持ち出すことはできません。
