対策製品は出回っているものの、いまだにやむことのない情報漏えい事件。この深刻なインシデントに対応するには、まず漏えいの経路となるものを無くすという考え方も必要だ。
IT市場においては、急速に「情報漏えい防止」をうたう製品やソリューションが増えてきている。その一方で、数年前から既に企業や個人情報の漏えいの危険性が指摘されており、「特定のファイル交換ソフトを使用しないように」と政府の声明においても言及されたほどである。
ここまで情報漏えいの危険性や対策製品の情報が数多く出ているにもかかわらず、企業の機密情報の流出や個人情報の流出を報じるニュースがいまだに世間をにぎわすのはなぜだろうか。今回は、情報が漏えいする典型的な例を挙げ、ネットワークセキュリティの観点から手軽に取り組める対策・ポリシー例を、その長所・短所も交えて説明しよう。
最近起きた情報漏えい事件の例を見てみると、図1の流れで情報が漏えいしているケースが多い。
(1)社員が何らかの理由で機密情報に関するデータファイルを社外に持ち出す
(2)社員が持ち出したデータを自宅のPCにコピーする
(3)自宅のPCが以下の状態であった
(4)自宅PCにコピーした機密情報に関するファイルがウイルスによって外部に漏えいした
筆者が最近見た情報漏えい事件のほとんどは、「社員が機密情報を持ち出した」「ファイル交換ソフトを使用していた」の2つのキーワードが、必ずと言っていいほど関係していたように思う。事件を起こした企業の中には、物理的対策システムの導入、または社員に対する啓発活動などを通じて情報漏えい対策を社内で講じていたところもあったであろう。だがそういった企業の努力も、一社員が自らの意思で「機密情報を社外に持ち出す」ことで、すべて無になってしまうケースもあるということがこれらの事件を通して分かるはずだ(特集記事「一体なぜ? Winny/Share経由の情報漏えいが絶えない訳を参照)。
またほかの例として、セキュリティ対策が施されていない、個人所有のノートPCを会社に持ち込んで社内のネットワークに接続し、機密情報を扱った際に情報が漏えいしたというケースがある。この場合は、社内に持ち込んだノートPCが何らかのウイルスに感染しており、ノートPCにコピーしたデータファイルがウイルスによって社外に漏えいしてしまったというのである。このケースでもやはり問題になるのは、「一社員の行動」である。
前述の通り情報漏えいは、結局のところ人、つまり社員の行動に大きく起因している。「それでは、社員への啓発活動も強固な情報漏えい対策ソリューションの導入も無意味になるのか?」という声が聞こえてきてもおかしくはない。だが決してそのようなことはなく、「啓発活動」と「ソリューションの導入」は、機密情報の漏えいを防止する点で最低限行わなければならないものであることに間違いはない。
ただしそれらを漠然と行うのではなく、啓発活動やソリューション導入後、以下の点に留意して正しい運用を行う必要がある。
情報は当然ながら日々変化するものであり、機密情報の内容についても企業によって異なることが通常である。そのため、製品やソリューションを社内に導入しておけばある程度の対策が行えるというような単純なものではなく、日ごろから「自社にとっての機密情報は何か?」「どのような運用をすべきなのか?」という点を念頭に置きながら対策を実施しなければならない。
Copyright © ITmedia, Inc. All Rights Reserved.
トランプ氏圧勝で気になる「TikTok禁止法」の行方
米大統領選で共和党のトランプ前大統領が勝利した。これにより、TikTokの米国での将来は...
インバウンド消費を左右する在日中国人の影響力
アライドアーキテクツは、独自に構築した在日中国人コミュニティーを対象に、在日中国人...
SEOは総合格闘技である――「SEOおたく」が語る普遍のマインド
SEOの最新情報を発信する「SEOおたく」の中の人として知られる著者が、SEO担当者が持つべ...