情報漏えい防止のためのネットワークセキュリティ：まず流出経路を断て

対策製品は出回っているものの、いまだにやむことのない情報漏えい事件。この深刻なインシデントに対応するには、まず漏えいの経路となるものを無くすという考え方も必要だ。

[船越洋明，トレンドマイクロ]

　IT市場においては、急速に「情報漏えい防止」をうたう製品やソリューションが増えてきている。その一方で、数年前から既に企業や個人情報の漏えいの危険性が指摘されており、「特定のファイル交換ソフトを使用しないように」と政府の声明においても言及されたほどである。

　ここまで情報漏えいの危険性や対策製品の情報が数多く出ているにもかかわらず、企業の機密情報の流出や個人情報の流出を報じるニュースがいまだに世間をにぎわすのはなぜだろうか。今回は、情報が漏えいする典型的な例を挙げ、ネットワークセキュリティの観点から手軽に取り組める対策・ポリシー例を、その長所・短所も交えて説明しよう。

なぜ情報が漏えいするのか？

　最近起きた情報漏えい事件の例を見てみると、図1の流れで情報が漏えいしているケースが多い。

図1●情報が漏えいする典型的な例

（1）社員が何らかの理由で機密情報に関するデータファイルを社外に持ち出す

• この場合、よくある理由に「完了せず残ってしまった業務を家でやろうとした」がある
• 社外に持ち出す方法としては、USBメモリにコピーして持ち出したり、電子メールで個人のメールアドレスに送信したりするケースである

（2）社員が持ち出したデータを自宅のPCにコピーする

（3）自宅のPCが以下の状態であった

• ファイル交換ソフト（WinnyやShare）を使用している
• ウイルス対策ソフトをインストールしていない、もしくはパターンファイルが長期間更新されていない
• そのためAntinnyなどの暴露ウイルスに感染していた

（4）自宅PCにコピーした機密情報に関するファイルがウイルスによって外部に漏えいした

　筆者が最近見た情報漏えい事件のほとんどは、「社員が機密情報を持ち出した」「ファイル交換ソフトを使用していた」の2つのキーワードが、必ずと言っていいほど関係していたように思う。事件を起こした企業の中には、物理的対策システムの導入、または社員に対する啓発活動などを通じて情報漏えい対策を社内で講じていたところもあったであろう。だがそういった企業の努力も、一社員が自らの意思で「機密情報を社外に持ち出す」ことで、すべて無になってしまうケースもあるということがこれらの事件を通して分かるはずだ（特集記事「一体なぜ?　Winny／Share経由の情報漏えいが絶えない訳を参照）。

　またほかの例として、セキュリティ対策が施されていない、個人所有のノートPCを会社に持ち込んで社内のネットワークに接続し、機密情報を扱った際に情報が漏えいしたというケースがある。この場合は、社内に持ち込んだノートPCが何らかのウイルスに感染しており、ノートPCにコピーしたデータファイルがウイルスによって社外に漏えいしてしまったというのである。このケースでもやはり問題になるのは、「一社員の行動」である。

漏えいを引き起こすのは“人”

　前述の通り情報漏えいは、結局のところ人、つまり社員の行動に大きく起因している。「それでは、社員への啓発活動も強固な情報漏えい対策ソリューションの導入も無意味になるのか？」という声が聞こえてきてもおかしくはない。だが決してそのようなことはなく、「啓発活動」と「ソリューションの導入」は、機密情報の漏えいを防止する点で最低限行わなければならないものであることに間違いはない。

　ただしそれらを漠然と行うのではなく、啓発活動やソリューション導入後、以下の点に留意して正しい運用を行う必要がある。

• 機密情報取り扱いに関する明確なポリシーの策定
• 導入したソリューションの定期的な監視やメンテナンス
• ポリシーに違反した社員に対する明確な罰則規定の策定および社内告知

　情報は当然ながら日々変化するものであり、機密情報の内容についても企業によって異なることが通常である。そのため、製品やソリューションを社内に導入しておけばある程度の対策が行えるというような単純なものではなく、日ごろから「自社にとっての機密情報は何か？」「どのような運用をすべきなのか？」という点を念頭に置きながら対策を実施しなければならない。

関連ホワイトペーパー

DLP(Data Loss Prevention) | 検疫ネットワーク | 機密情報 | 情報漏洩 | 暗号化 | Windows Server 2008 | ルータ | 情報流出