Kinmuu(キンムー)では、お預かりする情報の重要度に関係なく、その取り扱いや保護について、様々な取り組みを行っています。すべてを事細かにご紹介することは別のセキュリティリスクを生んでしまうため控えますが、ここではいくつかのポイントでその取り組みについてご紹介しています。
2つのリスクコントロール
個人情報保護において重要なのは2つのリスクをどのようにしてコントロールしていくかと考えています。2つのリスクとはシステム的なリスクと、人為的なリスクです。前者はシステム、プログラムに起因するリスク、後者は、それを開発・運用する人に起因するリスクです。
例えば、いくらシステムとして堅牢であっても、それを運用する人の意識が低かったり、不特定多数がその情報にアクセスできたりするような体制では個人情報保護上は非常にリスクが高い状態となってしまいます。逆に、開発や運用スタッフの人為的リスクは低くても、システムとしての設計レベルで問題があれば、思わぬかたちで攻撃を受けてしまうことにつながります。どちらか一方だけでは脆く、システム面、人為面の両面でいかに強固な体制を維持していけるかが重要だと言えます。
1. システム的なリスクの軽減
システム的なリスク対策としては、WEBアプリケーションに求められるセキュリティ対策を継続的に実施・更新していくことに尽きます。システムを構成する様々なソフトウェアを取り巻く環境は目まぐるしく変化するため、システムを作り上げた瞬間から否応なしに劣化がはじまります。作り上げたときには見つかっていなかった脆弱性が見つかることも珍しくありません。こうした脆弱性対策のために継続的にシステムや関連するソフトウェアをアップデートしていくことが重要です。
Kinmuuでは、奇をてらった構成をできる限り避け、システム開発におけるベストプラクティスにできる限り準拠するようにしています。より洗練され、よりシンプルに実現される機能や仕組みが、長期的なシステムの安定性につながるのは言うまでもありません。また、システムやソフトウェアの継続的なアップデートの優先順位を高く設定し、常にシステムが健全な状態を維持できるように取り組みを続けています。わかりやすい変化のない地味な取り組みではありますが、こうした地道な作業に愚直に取り組んでいけるかがとても重要だと考えています。
あわせて、様々な防護策を積み重ねるように活用することも忘れていません。WAF(ウェブアプリケーションファイアーウォール)をシステムの前段に配置することで、システムに到達する前の段階で不審なアクセスやアタックを遮断し、セキュリティを強化しています。
2. 人為的なリスクの軽減
人為的なリスク対策としてはまず、完全自社開発のため自社以外の場所からの漏洩のリスクがありません。協力会社や下請け会社が関与するプロジェクトでは、開発に必要なために様々な権限が第三者に付与されることになりますが、そういった第三者の監督はあくまでそれぞれの会社に委ねられており、いくら書面を交わしていたとしても不透明です。つまるところ性善説に依拠する状態になってしまい、情報漏えいのリスクは常に高い状態にとどまってしまいます。
完全自社開発では、そういった強い権限を持つ人間を社内に限定することができます。また、関与する人間や、作業を行う場所も限定できるためリスクコントロールが容易になります。「把握していなかった」という事態を避けることができます。残念ながら、昨今の情報漏洩で見られる少なくないパターンが、関係会社からや、さらには社員による漏洩というものであることを事実として受け止める必要があります。
Kinmuuでは、完全自社開発によるリスク低減に加えて、システムに対して強い権限を持つスタッフはもちろん、作業に使用する端末についても極限まで限定することで、よりセキュリティ強度を高めています。自社スタッフであっても、本プロジェクトに関係のないスタッフは何も見ることができませんし、何も持ち出すことはできません。
コミュニケーションへのコミットメント
個人情報保護が声高に叫ばれる昨今、大学内で求められるものも増えているのではないかと思います。情報セキュリティを管轄する部署からの注意喚起や、リクエストされる情報なども多岐にわたると思います。そうした中、Kinmuu側にお尋ねいただく必要があることもあるかもしれません。
何でもお尋ねください、が私たちの基本スタンスです。個人情報に関することに限りませんが、私たちはお客様である皆様とのコミュニケーションに強くコミットしています。完全自社開発ですべてがコントロール下にあるため、「わかりません」や「担当外です」といった、無責任な逃げ方はしません。疑問が解決するまで最大限のサポートを行い、懸念点や課題を解消していければと思います。