形骸化する従来型の監査からの脱却 　自社が求めるセキュリティ要件が日々の業務で満たされるようにするためには、セキュリティの具体策や業務におけるルールやポリシーが、然るべき形で確実に実装されているのかどうかを都度確認する必要がある。委託先管理においても運用は外すことができない。 　つまり、監査の実施ということになるが、チェックリストを中心としたアンケート形式の自己申告型が一般的だろう。自己申告という特性上、主観が入る要素は否めない上に虚偽申告も可能であり、日々の運用や対策が徹底されているかどうかを第三者として正確に把握することは事実上困難だ。 　自己申告形式で実施するのであれば、証拠の提示を義務付けることが必須だろう。例えば、適切なアクセス権限の設定になっていることや、アクセス制御が適切に行われていることをスクリーンショットにしてエビデンスとして提示させることだ。 　実地での監査もあるが、事前通告した上で実施する形態が一般的だ。事前通告型では、委託先は監査に向けて準備をする期間があり、実態とは異なるものを委託元が見ることになる可能性もある。実効性を持たせるのであれば、事前通告型だけではなく、場合によっては抜き打ち形式でも実施する方が望ましいだろう。抜き打ち監査は抑止力の観点でも効果がある。 　監査が行われていたかどうかは定かではないが、ポリシーに反して業務が再委託、再々委託されていたケースもあれば、許可されていない環境で業務データが取り扱われ、ルールに反してデータが廃棄されてないにも関わらず、事実とは異なる報告が委託元にされていたことが、事故が起きてから発覚したケースもある。 　委託先に余計な手間をかけさせるのは申し訳ないという意見を度々耳にするが、個人情報の漏えいや業務が止まった際のステークホルダーへの影響をてんびんにかけた時にどちらが重いかを考えるべきだ。 単一の対策に過度に依存しない階層的な対策を 　セキュリティインシデントに関する当事者からの発表を見ると、再発防止策として、ネットワーク機器の脆弱性対策の強化、Endpoint Detection and Response（EDR）の導入など、被害原因への局所的な対策が挙げられているケースや、一見すると包括的に再発防止に取り組むように見えるものの、これまで実施していなかったのかと首を傾げざるを得ないものが列挙されているケースもある。 　一方で、個人情報や営業秘密といったデータの取り扱いとなると、データ損失防止（DLP）などの情報漏えい対策製品を導入すればいいと思われがちだ。しかし、あらゆる通信を可視化できていなかったり、アクセス権限の設定が徹底できていなかったり、分類に応じて適切にデータにタグ付けができていない中でDLPを導入しても本末転倒だ。 　本質的には、必要最低限のユーザーに必要最低限のアクセス権限を付与する最小権限の原則を徹底することだ。ユーザーの属性に応じて、閲覧や編集などアプリケーションやデータごとのアクセス権限を業務上必要なものだけに絞ることだ。 　その上で、ユーザーのアクセスを可視化して、制御し、Extended Detection and Response（XDR）のようなものを活用して、ログデータから不審な挙動がないかどうかを分析することだ。可視化できなければ制御も監視も分析もできない。まさにゼロトラストの原則の徹底と言える。 　中にはレガシーなものも依然として存在するものの、最近ではさまざまなアプリケーションがウェブブラウザーベースになっている。そこで、セキュリティ機能が内蔵されたセキュアブラウザーという手段も最近では有効だ。当該ブラウザーでしか業務アプリケーションとデータにアクセスさせないというものだ。 　ベンダーによってできることは当然変わるが、セキュアブラウザーを経由しないとアプリケーションにアクセスできない、データも閲覧できない、ユーザー属性に応じて特定のデータは見れないようにする、ダウンロードされたデータにはウォーターマークが付けられ誰によるものかが判別できる、ダウンロードされたデータは暗号化されてセキュアブラウザー内でしか開くことができないといった形で、実効性を高めることができるものがある。セキュリティエージェントを入れることが難しいBring Your Own Device（BYOD：私物端末）や業務委託先の端末にもセキュアブラウザーなら導入しやすいメリットがある。 　もちろん従業員教育を通じて、ユーザーが常に正しい行動をするように促す対策も重要だが、抑止力への過度な依存も賢明とは言えない。アクセス権限から監視に至るまで、単一的な方法ではなく、前述のような対策を組み合わせることで、階層的に幾つかの実効性の高い技術的なコントロールをしていくことが強く求められる。