対策製品は出回っているものの、いまだにやむことのない情報漏えい事件。この深刻なインシデントに対応するには、まず漏えいの経路となるものを無くすという考え方も必要だ。
IT市場においては、急速に「情報漏えい防止」をうたう製品やソリューションが増えてきている。その一方で、数年前から既に企業や個人情報の漏えいの危険性が指摘されており、「特定のファイル交換ソフトを使用しないように」と政府の声明においても言及されたほどである。
ここまで情報漏えいの危険性や対策製品の情報が数多く出ているにもかかわらず、企業の機密情報の流出や個人情報の流出を報じるニュースがいまだに世間をにぎわすのはなぜだろうか。今回は、情報が漏えいする典型的な例を挙げ、ネットワークセキュリティの観点から手軽に取り組める対策・ポリシー例を、その長所・短所も交えて説明しよう。
最近起きた情報漏えい事件の例を見てみると、図1の流れで情報が漏えいしているケースが多い。
(1)社員が何らかの理由で機密情報に関するデータファイルを社外に持ち出す
(2)社員が持ち出したデータを自宅のPCにコピーする
(3)自宅のPCが以下の状態であった
(4)自宅PCにコピーした機密情報に関するファイルがウイルスによって外部に漏えいした
筆者が最近見た情報漏えい事件のほとんどは、「社員が機密情報を持ち出した」「ファイル交換ソフトを使用していた」の2つのキーワードが、必ずと言っていいほど関係していたように思う。事件を起こした企業の中には、物理的対策システムの導入、または社員に対する啓発活動などを通じて情報漏えい対策を社内で講じていたところもあったであろう。だがそういった企業の努力も、一社員が自らの意思で「機密情報を社外に持ち出す」ことで、すべて無になってしまうケースもあるということがこれらの事件を通して分かるはずだ(特集記事「一体なぜ? Winny/Share経由の情報漏えいが絶えない訳を参照)。
またほかの例として、セキュリティ対策が施されていない、個人所有のノートPCを会社に持ち込んで社内のネットワークに接続し、機密情報を扱った際に情報が漏えいしたというケースがある。この場合は、社内に持ち込んだノートPCが何らかのウイルスに感染しており、ノートPCにコピーしたデータファイルがウイルスによって社外に漏えいしてしまったというのである。このケースでもやはり問題になるのは、「一社員の行動」である。
前述の通り情報漏えいは、結局のところ人、つまり社員の行動に大きく起因している。「それでは、社員への啓発活動も強固な情報漏えい対策ソリューションの導入も無意味になるのか?」という声が聞こえてきてもおかしくはない。だが決してそのようなことはなく、「啓発活動」と「ソリューションの導入」は、機密情報の漏えいを防止する点で最低限行わなければならないものであることに間違いはない。
ただしそれらを漠然と行うのではなく、啓発活動やソリューション導入後、以下の点に留意して正しい運用を行う必要がある。
情報は当然ながら日々変化するものであり、機密情報の内容についても企業によって異なることが通常である。そのため、製品やソリューションを社内に導入しておけばある程度の対策が行えるというような単純なものではなく、日ごろから「自社にとっての機密情報は何か?」「どのような運用をすべきなのか?」という点を念頭に置きながら対策を実施しなければならない。
Copyright © ITmedia, Inc. All Rights Reserved.
ファイル共有のセキュリティ対策として広く浸透している「PPAP」だが、昨今、その危険性が指摘され、PPAPを廃止する企業が急増している。PPAP問題とは何かを考えながら、“脱PPAP”を実践する2つのステップを紹介する。
セキュリティ強化を目指す企業が増える中、ゼロトラスト推進の難しさが浮き彫りになってきた。テレワーク対応などをゴールにするのでなく、「なぜゼロトラストが必要なのか」という原点に立ち返ることで、成功への筋道が見えてくる。
クラウド活用の進展と働き方の多様化に伴い、従来の境界型防御モデルでは対処しきれないセキュリティ課題が浮上している。本資料では、国内環境に最適化されたセキュリティ基盤を活用し、これらの課題に対応する方法を紹介する。
情報セキュリティにおいて、ランサムウェアは最大級の脅威だ。バックアップはランサムウェア対策の最後の砦ともいえるが、昨今はバックアップデータへの攻撃も目立ってきた。そこで、ストレージによる対策のアプローチを紹介する。
データの増大やサイロ化に伴い、セキュリティ対策の重要性が高まっている一方、サイバー脅威の高度化もとどまるところを知らない。こうした中、エッジからクラウドまで網羅するデータセキュリティは、どうすれば実現できるのか。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。