情報漏えい防止には総合的な対策が必要：データ管理製品導入の前に理解しておくべきこと

情報漏えいの可能性のある部分を特定する際に考慮すべき重要なポイントと、あらゆるデータの漏えい防止（DLP）プランニングに共通する注意点をそれぞれ列挙する。

[Noah Schiffman，TechTarget]

　コンピュータセキュリティに対する従来のビジネス中心的な考え方は社外からの脅威にフォーカスしたものであり、社内の脆弱性は見過ごされがちだった。実際、Ponemon、Orthus、Vontuなどによる最近の調査では、企業での情報漏えいの大部分は社内での不注意な行動が原因であることが明らかになった。

　企業の情報漏えいは訴訟リスクやイメージダウンにつながる可能性があることから、データの漏えい防止（DLP）技術への需要が高まっている。DLP技術は主として、自動データ管理の必要性に主眼を置いてきた。この総合的セキュリティパラダイムの出現により、企業は社外向けコンテンツコンプライアンス（OCC）ポリシー、社内脅威管理および情報漏えい対策システム（Extrusion Prevention System）を重視した製品を利用したデータガバナンスを早急に実現しようとしている。

　しかし、総合的なデータ管理製品やプラットフォームの導入を検討する前に、情報セキュリティ担当部門は自社の業務の流れを把握し、それが既存IT資産の防護にどのように関連するのかを理解しなければならない。この作業では、情報漏えいの発生源となる可能性があるネットワークインフラの主要側面に狙いを定めて調査を実施する必要がある。情報漏えいの可能性のある部分を特定する際に考慮すべき重要なポイントを以下に示す。

• ITインフラの複雑化に伴い、すべてのデータの所在とその利用者、利用方法を把握するのが困難になる
• データ管理者とストレージ管理者の役割の違いがあいまいになるのに伴い、データのランク付けシステムを作成する責任の所在の明確化が困難になる
• 社内データの重要性の評価を実施する。すべてのデータの内容確認が完了したら、データの秘匿性を分類するためのスキームを導入しなければならない
• データにアクセスできる人は基本的に、そのデータの漏えいに対する責任がある。アクセス制御が非常に甘く設定されているユーザー（上級マネジャーなど）を特定する。こういったユーザーは、データセキュリティに関して適切な訓練を受けていないのに、高いアクセス権限を求めることが多い
• 社外から社内への電子メールはインターネット脅威に対する防護のために検査されるが、情報漏えいの主要発生源である社内から社外への電子メールは見過ごされがちだ。社内の人間の電子メールを通じた機密情報の偶発的な流出は、情報漏えいの最大の原因の1つだ。Webベースの個人メールアカウントの利用や不適切なメッセージ自動転送の設定に伴うリスクは、訴訟、金銭的損失、法令違反など深刻な結果を招く恐れがある
• インスタントメッセージング（IM）、P2P型ファイル共有、ブログ、ソーシャルネットワーキングサービス（SNS）などのインターネットプロトコルやサービスを無許可で利用したり、Webサイトにデータを無許可でアップロード（FTP転送）したりすることは、データセキュリティを脅かす重大な要因であり、厳格なポリシーによってコントロールする必要がある
• 下請け業者や外部のコンサルタントを利用する場合は通常、新たなユーザーアカウントを作成する必要があるが、こういったアカウントは行方不明になりやすいため、正確に把握、管理しなければならない
• USBメモリ、光学メディア、外付けHDDなどのリムーバブルストレージメディアは、データ流出につながる可搬手段にもなる
• ノートPCやPDAなどといったモバイルデバイスは、データを社内環境から監視や管理が一切行われない環境に物理的に移動することができる

情報漏えい防止のための戦略的プランニング

関連ホワイトペーパー

情報漏洩 | アクセス制御 | コンプライアンス | セキュリティポリシー