第8回 内部情報漏えい対策の常識(前編):知ってるつもり?「セキュリティの常識」を再確認(1/3 ページ)
情報漏えいの主なルートといえるのが内部からによるものだ。個人情報保護法の全面施行を控え、このリスクを小さくするためにやっておかなければならない対策は何だろうか。
情報漏えい事件の現状
企業の情報漏えい事件、特に、個人情報の流出を伝えるニュースが聞こえてこない日はない。本稿の作成中にも、某大手通信系の企業が2万件を越える個人情報を漏えいしたと報じられた(関連記事)。
これら事件は頻繁に報じられるため、それぞれの事件報道に対する印象は薄れつつあるのかもしれない。しかし、事件を起こした当事者の立場で考えた場合、漏えい事件が発生した場合のダメージは大きなものであり、今や企業としての存続を脅かすほどのリスクとなっている。具体的にどの程度のダメージが発生するのか? 日本ネットワークセキュリティ協会(JNSA)が2004年に公表した報告書によれば、表1の通りである。
|
損害賠償額について平均5.5億円余りという統計が出ており、前年度(2002年)の3.4億円から大きく増加している。実際には、損害賠償費用に加えて訴訟費用などの事故対応費用も発生する。さらには、企業イメージの低下による悪影響も発生すると考えられる。4月からの個人情報保護法の全面施行を控え、このリスクを可能な限り小さくするために、我々が今やっておかなければならない対策は何だろうか。
情報漏えいの原因は?
情報漏えいへの対策を考えるにあたり、その原因や流出経路を知ることは有用である。前出のJNSAの報告書によれば、それぞれ表2、表3のような統計が得られている。
|
表2の情報漏えい原因は「主に外部要因による漏えい」と「主に内部要因による漏えい」に分類できる。
・主に外部要因による漏えい
外部要因による情報漏えいは、社外に存在する脅威(クラッカー、泥棒)によって引き起こされる。このタイプの情報漏えい原因として「バグ/セキュリティホール」「不正アクセス」「盗難」が考えられる。
・主に内部要因による漏えい
内部要因による情報漏えいは、社内ユーザーによって引き起こされる。原因としては、「誤操作」「設定ミス」「管理ミス」「置き忘れ」といった過失によるものや、「情報持ち出し」「内部犯罪」のような悪意を伴ったものがある。
表2の比率から「主に内部要因による漏えい」が66%を占めることがわかる。今求められているのは「主に内部要因による漏えい」に対する対策だと言えるだろう。
|
情報漏えい経路としては、「Web経由」「E-Mail経由」「FTP経由」に見られるように電子データが漏えいする場合と、「FD等可搬記録媒体」「紙媒体」「PC本体」のように物理的なものが持ち出されて漏えいする場合がある。ただし、「FD等可搬記録媒体」「PC本体」については、それらの内部に記録された電子データが漏えいしているとも考えられる。従って、「電子データの漏えい」への対策を行う必要があるといえる。
以上をまとめると、「社内ユーザーが扱う電子データの漏えい対策」が求められていることは疑いがない。以下、内部情報漏えいへの対策について紹介する。
まずはリスクアセスメントから
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 爆売れだった「ノートPC」が早くも旧世代の現実
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- ランサムウェアに通用しない“名ばかりバックアップ”になっていませんか?
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- PHPやRust、Node.jsなどで引数処理の脆弱性を確認 急ぎ対応を
- 標的型メール訓練あるある「全然定着しない」をHENNGEはどう解消するのか?
- 攻撃者が日本で最も悪用しているアプリは何か? 最新調査から見えた傾向
ITmediaはアイティメディア株式会社の登録商標です。