内部脅威による情報漏えいの処方せん部内者の関与をどう防ぐ?

企業は、データの保護と社員のプライバシーを両立できるバランスの取れたセキュリティを確立する必要がある。

2013年09月11日 08時00分 公開
[Warwick Ashford,Computer Weekly]
Computer Weekly

 DLP(data loss prevention)システム、暗号化、インターネット監視ツールなど、制限型の制御では完璧なセキュリティは実現できず、部内者が関与したデータ漏えいが増えている。生産性に影響せず、従業員のプライバシー権を侵害することもなく、セキュリティを高めるにはどうすればよいか?

 英国の詐欺防止サービス「Cifas」によると、部内者が関与した詐欺は2012年に43%増加している。また、米Verizonの2013年版「データ漏洩/侵害調査報告書」によると、全データ侵害の14%に部内者が関与しているという。

Computer Weekly日本語版 2013年8月21日号無料ダウンロード

本記事は、プレミアムコンテンツ「Computer Weekly日本語版 2013年9月11日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。

なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。


 ストレージおよび情報管理企業のIron Mountainの調査では、英国の従業員の8%は、雇用主から不当と感じる処遇を受けた場合、機密情報を盗んで報復すると回答している。

内部脅威の拡大の背景

 近年、機密性の高いデータを保持している企業は、ファイアウォールや侵入検知システムを使い、ネットワーク境界の保護についてはかなり成果を上げている。その結果、攻撃者はこのような制御を迂回するため、組織内部の協力者を探すようになった。

 部内者を利用すれば、定期的に組織内のデータにアクセスすることは格段に容易になる。セキュリティ企業は、ハッカーに強要されて協力者にさせられた部内者が関与するデータ漏えいが増えていると報告している。

 銀行にとってデータセキュリティは極めて重要であるため、システムをロックダウンし、インターネットへのアクセスを制限することでセキュリティを確立してきた。最近ではDLP(data leakage prevention)ツールやデータ暗号化ツールなどの制限型の制御を導入して、アクセスおよび外部に送信できるデータを制限している。

 しかし、依然としてデータの流出は止まらない。しかも、システムをロックダウンしてアクセスを制限することで、競争力を生み出すために必要なイノベーションが抑圧されていることに銀行は気付きつつある。

 英Dtex Systemsのマネージングディレクター、モハン・クー氏によると、銀行やメディア企業、通信会社は現在、「trust, but verify(信頼するが、検証もする)」(訳注)セキュリティモデルを採用し、データ保護と従業員のプライバシーの両立を図っているという。

訳注:元はロシアの格言。ロナルド・レーガン元大統領が引用したことで有名(参考:Wikipedia)。

 つまり、従業員が革新的かつ創造的でいるために必要なアクセスと柔軟性を認めつつ、保護監視システムによって危険な行為や悪意のある行為がないことを検証するというモデルだ。

 「このモデルのおかげで、英国の金融機関は、ロックダウンによる制限型のセキュリティから転向できている」と、クー氏は語っている。

 DLPツールが情報漏えいを阻止できない最大の理由は、ツールが各組織固有の要件に合わせて適切に構成されていないことだとクー氏は指摘する。企業が抱えるリスクは同じではないが、DLPツールのサプライヤーはどの顧客にも同じ構成を勧めることが多いという。

 「情報漏えいの発生を把握し、実際に起きている箇所を特定できる唯一の方法は、組織のネットワーク上の全ファイルについて、ユーザーの操作の内容をチェックする監査を実行し、DLPシステムが作動している箇所と、DLPシステムに検知されずにデータが転送されている箇所を特定することだ」とクー氏は語る。

 また、データ侵害事件の多くで、従業員がインターネットを使って最も一般的なインターネットセキュリティツールを迂回する方法を調べ、そのテクニックを同僚に教えていることも保護監視システムによって暴かれている。

セキュリティモデルの転換を進めているその他の業界

 金融業界に次いで制限型のセキュリティが普及している通信業界も、データセキュリティを改善する方法を模索している。

 通信会社でも保護監視モデルによって、制限が行き過ぎることも従業員のプライバシーが侵害されることもなく、英国のデータ保護法(Data Protection Act)の規定に準じて重要な顧客保持データを制御できている。

 創造性がビジネスの基軸になることから制限を設けてこなかったメディア業界では、逆にこの保護監視モデルを使って従来の自由を維持しつつ、情報セキュリティを強化している。

 「一般的にメディア企業では、セキュリティ制御がほとんどまたは全く導入されていなかった。しかし、特に2013年5月に発生したSyrian Electronic Army(訳注)による西側メディアへの攻撃以後は、情報セキュリティの重要性を認め始めている」とクー氏は言う。

訳注:SEA(Syrian Electronic Army)関連記事まとめ

 他に、電力と小売業界も、保護監視を使って「trust, but verify」型のセキュリティに移行している。

 しかし、保護監視ではどのようにしてプライバシーの侵害を防ぐのか?

続きはComputer Weekly日本語版 2013年9月11日号にて

本記事は抄訳版です。全文は、以下でダウンロード(無料)できます。


ITmedia マーケティング新着記事

news038.jpg

生活者の生成AI利用動向 10代後半はすでに5割近くが経験――リクルート調査
テキスト型生成AIサービスの利用経験者の割合は若い年代ほど高く、特に10代後半はすでに5...

news108.jpg

今度の「TikTok禁止」はこれまでとどう違う?
米国ではまたしてもTikTok禁止措置が議論されている。これまでは結局実現に至らなかった...