特集
» 2005年02月08日 09時00分 UPDATE

「性悪説」による機密・個人情報漏えい対策 第2部PART1 性悪説による「内部セキュリティ対策」とは何か? (1/2)

これまでの「性善説」を前提としたセキュリティシステムでは、もはや社内の機密・顧客情報を守ることはできない。では、「性悪説」によるセキュリティシステムは、どのような考えを基に構築すればよいのだろうか?

[園田法子、橘田明雄、卯城大士(チェック・ポイント・ソフトウェア・テクノロジーズ),N+I NETWORK Guide]

N+I NETWORK Guide 7月号(2004年)より転載しています

機密情報の漏えいは企業の信用を失墜させる

 インターネットが普及し、コンピュータやネットワーク技術の革新が進んだ現在、多くの企業が、ネットワークやコンピュータを利用して業務を行うことは一般的な光景だ。それに伴い、企業が扱う重要な顧客データや製品戦略などの機密情報は社内のデータベースやサーバなどに保存・管理され、日常的な業務連絡がメールなどを介して行われるようになった。社内だけでなく取引先などとの連絡も、メールやWebといったシステムを介して行われることが多い。

 企業活動がネットワークやシステムへの依存を深める中、それらが突然ダウンしたら、多くの業務が停止してしまうことになる。このため、ネットワーク環境を整え、機密データなどのリソースを安全に保護しながら運用を続けることが、業務を行ううえでの必須条件となるはずである。

 ところが最近、企業内部で起こる機密データへの不正アクセスや情報漏えいなどの被害が急増している。また、ウイルスやワームの拡散など、ネットワークそのものに被害を与える原因も企業ネットワーク内から発生するケースが増えている。

 企業は、このような被害を受けると、ネットワークやシステムが止まるといった一時的な業務停止状態に陥るだけでなく、取引先、さらには社会に対する信用の失墜という大きな代償を払うことになってしまう。一度失墜した信用やイメージを回復するのは、非常に時間とコストがかかる大変な作業だ。これを防ぐためにも、企業は早急に、内部の安全対策を講じなくてはならない。

ネットワーク環境の変化が情報の持ち出しを容易にした

 しかし、なぜ最近になって、企業内部での情報漏えいや不正アクセス、ワームの被害などが数多く報告されるようになったのだろう。これには大きく分けて2つの要因が考えられる。

 1つは、技術革新などによる私たちを取り巻く環境の変化だ。近ごろでは、ネットワークの高速化や記憶媒体の大容量化、モバイルコンピュータの普及などによって、私たちの生活は多くの恩恵を受けている。しかし一方で、これら技術革新が攻撃者に対しより多くの不正アクセスの機会を与えてしまった。

 ネットワークの高速化によって攻撃者は、ネットワーク経由で高速に目的のデータを取得することが可能になった。また、物理的にデータを記憶媒体に移動して持ち去ろうとした場合も、以前であれば、最大容量1.44MBのフロッピーディスクにデータを写すためにまずファイルを細かく分割し、その後複数のフロッピーディスクに順番にデータをコピーする必要があった。この作業自体がそもそも目立つ行為であり、リスクが高い。

 しかし今や、CD-ROMやDVD-R、USBメモリなどの記憶媒体を利用すれば、短時間で多くの情報を取得することが可能だ。さらに、モバイルコンピュータを利用すれば、社員が必要情報をそのまま取得して持ち出すことも簡単だ。このような技術革新が、以前よりも簡単に不正アクセスや情報漏えいが起こりやすい環境を作り出したのは間違いないだろう。

人間はミスや過ちを犯す可能性がある

 企業内部で不正アクセスや情報漏えいなどの被害が増大したもう1つの理由、それは内部セキュリティの軽視である。

 これまで企業のIT管理者は、インターネットと企業ネットワークの境である境界セキュリティに重点を置き、さまざまな対策を講じてきた。しかし、残念なことに、企業内部に強固なセキュリティを導入している企業は多くない。それは、社員もしくは社内のネットワークへ物理的にアクセスできる人は、攻撃や情報漏えいなどを行わないであろうという「性善説」に基づいているからではないか。この性善説に基づく甘えが、内部セキュリティを軽視する原因になってしまった可能性があるのだ。

 最近見られる情報漏えい事件の多くは、十分な内部セキュリティが施されていない環境で起きている。企業ネットワークを安全に保護するためには、性善説に基づきすべての人間の行動を信頼するのではなく、人間はミスや過ちを犯す可能性があるという「性悪説」の認識を持つことが、内部セキュリティを考える第一歩なのかもしれない。

 そして、「企業内部は何もしないと危険」という認識を持つことによって、インターネットと社内ネットワークの境に導入する境界セキュリティ以上に、さまざまな要素を考慮した総合的なセキュリティ対策が必要になってくることが見えてくる。

内部セキュリティの脅威の発生源はどこか?

       1|2 次のページへ

Copyright(c)2010 SOFTBANK Creative Inc. All rights reserved.

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -