データ流出を防ぐ必携ツールとプロセス判断するプロセスが重要

有効なテクニックと自社に合ったツールの選び方を紹介する。

2007年08月30日 05時00分 公開
[Mike Rothman,TechTarget]

 企業のデータは常にリスク(特に組織内部のリスク)にさらされている。この状況はますます明らかになってきた。これは、情報セキュリティに関するニュース記事に注意を払っている人にとっては驚くようなことではない。しかし、これまでデータ流出を監視するプロセスや技術が未熟であったため、ほとんどの企業は現実に目をそむけてきた。

 悪党どもが主に欲しがっているのは、個人を特定できる情報(Personally Identifiable Information:PII)だ。具体的にはメールアドレス、社会保障番号、クレジットカード情報などであり、これらの情報はなりすましの手段として利用できる。残念ながら、アカウントを盗むために使える情報の市場だけでなく、他人の名前をかたって信用を手に入れるのに使う情報を売買する巨大な市場も存在する。データ流出事件として過去最大の規模となったTJX Companiesの事件は、個人データの流出がどのような結果を招くかをまざまざと見せつけた。

 データ流出のもう1つの大きな要因は、知的財産(IP)だ。DuPontの企業秘密の盗難は有名だが、たいていの企業は知的財産情報の流出を公表したがらないため、一般に知られていない流出事件は何百件も存在する。どんな企業でも、自社の知的財産のかなりの部分をデジタル化している。つまり、悪意を持った従業員や無警戒な従業員が、いつでも知的財産情報をリムーバブルメディアにダウンロードしたり、電子メールに添付したりする可能性があるということだ。そうなれば一巻の終わりだ。流出した情報は元に戻らない。

 情報流出に伴う損失は明らかであり、問題は「アウトバンド」(外に出ていく)コンテンツを保護するにはどうすればいいかということだ。対策の出発点となるのは、トレーニングなどを含めた多面的なアプローチだ。トレーニングの目的は、自社のポリシーの内容、そしてそれに従わないことに伴う結果を従業員に周知徹底することだ。

 しかし、トレーニングの前にやるべきことがある。何を保護するのかを明確化することだ。すなわち、社内にあるデータを調査し、誰がどんな目的で利用できるようにするかを規定することだ。どんなデータがどこに保管されているのか確認するだけでも有意義だろう。この組織的作業により、それまで気付かなかった多数の情報流出ポイントを取り除ける場合が多いからだ。

ITmedia マーケティング新着記事

news061.png

高齢男性はレジ待ちが苦手、女性は待たないためにアプリを活用――アイリッジ調査
実店舗を持つ企業が「アプリでどのようなユーザー体験を提供すべきか」を考えるヒントが...

news193.jpg

IASがブランドセーフティーの計測を拡張 誤報に関するレポートを追加
IASは、ブランドセーフティーと適合性の計測ソリューションを拡張し、誤報とともに広告が...

news047.png

【Googleが公式見解を発表】中古ドメインを絶対に使ってはいけない理由とは?
Googleが中古ドメインの不正利用を禁止を公式に発表しました。その理由や今後の対応につ...