トリコロールな猫/セキュリティ

思いついたことをぼちぼち書いてます。

データベース・セキュリティ・コンソーシアム「DB 内部不正対策ガイドライン 第1.1版」メモ

2015年9月に公開されたものの改訂版です。2016年2月3日に公開されました。

DB 内部不正対策ガイドライン 第1.1版

構成

1 はじめに 
  1.1 目的
  1.2 本ガイドラインの前提
  1.3 語彙の定義
  1.4 本ガイドラインに関する注意事項
2 DB内部不正対策概略
3 管理者の誘因
  3.1 雇用条件
  3.2 職場環境
  3.3 幸福度
4 管理者の抑制
  4.1 アクセス制御
  4.2 認証方式
  4.3 管理者の分掌
  4.4 暗号化・鍵管理
  4.5 DB周辺デバイスの管理
5 運用の実施
  5.1 ポリシーの制定
  5.2 保全
  5.3 監査・監視体制
  5.4 監査の実施
6 DB内部不正耐性チェックシート
7 DB内部不正対策マップ
8 セキュリティソリューション事例
9 DB内部不正対策ガイドライン執筆者

「8 セキュリティソリューション事例」が追加されています。主に執筆者の所属する会社が提供しているソリューションの紹介ですね。導入までの期間や費用など具体的に書かれています。

感想

内部不正の誘因として、初手から雇用条件とか出してくるところがとてもいいです。

管理者が内部不正を行う動機として、雇用条件に対する不満から、不正を働く可能性が高くなることが、DBSC による管理者へのアンケートにて指摘されている。具体的には従来の年功序列や長期雇用といった日本的雇用形態を支持する場合や規範的な組織コミットメント(周囲の目を気にして業務をするタイプの人である傾向)が強い場合は内部不正行為が起こりにくく、衛生要因が悪い場合(従業員満足度が低い場合)には情報に対する内部不正行為が起こりやすい傾向がアンケートから導き出された。*1

最近やたらとセキュリティ人材が不足してるとか騒がれてますけど、「一人で何でもできて、安く雇える」って枕詞ついてんじゃないの?という気がするので。

マズローの欲求5段階の話を出して、技術習得とかもさせないとねって話もしています。

技術習得などのプログラムはワーキング・モチベーションの向上に寄与する。なぜならば、アブラハム・マズローによる「マズローの欲求段階説」における 5 段階の欲求のうち、上位 2 つを満たすことが出来るからである。*2

サビ残させんなよ?って話も。書いてる人、苦労してるのかなあw

過度の長時間労働、特にサービス残業を課される雇用状況は管理者が不満を持つことになる。有給の取得を
責任者が正当な理由なく阻止することも、管理者の権利の侵害となり管理者が不満を募らせることにある。また、逆に生活残業が黙認されるような環境下では、それをしていない人々に不公平感が芽生え、モラールの低下をもたらす。*3

対策の方はDBに特化したものは少なく。アカウントの管理とかポリシーの策定とか。ていうか誘因の内容が濃すぎて頭に入ってこないw

まあ具体的なサービスをソリューション事例として後ろで紹介してますから、対策の方は逆に具体的には書いてないということなのかもしれないですね。ソリューションごとにガイドラインのどの項目をカバーするかが載っているので、必要に応じて選んでねということでしょうか。

結局のところ、システム的には事例のような専門のサービスを頼めばいいわけですが、社内の管理者が自ら不正利用しようとすれば止めようがないわけで、誘因の方に力が入ってるのは正しい姿なのかも・・。

そういえば以前書いた経済産業省の「秘密情報の保護ハンドブック~企業価値向上に向けて~」にも同じようなことが書かれていましたねぇ。

d.働きやすい職場環境の整備
○ 例えば、ワーク・ライフ・バランスの推進の観点から、長時間労働の抑制(適正な業務配分等)や年次休暇取得促進のための体制構築(労働時間の適正化、多様な休み方の提案等)、福利厚生の充実などを実施することにより、従業員等が働きやすい職場環境を整えて、企業への帰属意識を高めます *4

セキュリティという観点から、というかもうなんでもいいんで世の中の職場環境が改善されて欲しいです。