「重要情報を含むファイルは保護すること」などのルールがあるのに、強制力がなく機能していないケースがある。それはなぜなのか。有効なファイル保護の具体策とは。
ばらまき型攻撃や標的型攻撃による情報漏えいは企業規模や業種問わず発生しており、対策が急務となっている。情報漏えいに至る前に侵害を食い止めるポイントは幾つかある。最新のサンドボックス製品や機械学習機能を活用したエンドポイントセキュリティ製品を活用し、未知のマルウェアを検出することがまず重要だ。仮に感染しても、不審なサーバと通信して情報を外部に送信する段階でブロックできれば、最悪の事態は免れる。だが既存のセキュリティ対策を迂回(うかい)する攻撃も少なくなく、100%確実に防げるとは言い切れない。
これらの対策が突破された場合の多層防御の最後のとりでが、「ファイルの暗号化」だ。攻撃者が最終的に手に入れたい情報は、ほとんどの場合ファイルに格納されている。万が一ファイルが外部に流出してしまっても、適切に暗号化されていれば情報の悪用は不可能になる。
ファイルの暗号化はルールで定めるだけでは意味がなく、きちんと運用されなければならない。多くの企業は、個人情報や機密情報を規定に従って適切に扱うよう求めるセキュリティポリシーを設け、従業員の教育をしているはずだ。だが売り上げや納期といったプレッシャーの中、効率的に目標を達成するため、セキュリティ上のルールが、ついないがしろになってしまうケースは珍しくない。利用者の判断に委ねた運用の中、利用者は業務効率を優先する結果、運用がずさんとなり、ファイル暗号化という最後のとりでも機能せず、大規模な情報流出につながってしまった例もある。
企業として真剣に情報資産を守り、顧客や従業員も含めたステークホルダー全ての安全を考えるならば、ルールを形骸化させず、かつ業務効率を下げずに暗号化を行う実効性ある手段が必要だ。その具体例を探っていこう。
提供:日本電気株式会社
アイティメディア営業企画/制作:TechTargetジャパン編集部
ITmediaはアイティメディア株式会社の登録商標です。
