ニュース
» 2005年05月31日 10時02分 UPDATE

情報漏えいの脅威は社内にあり

内部関係者による情報漏えいを未然に防ぐには、継続的な社員教育と内部統制が必要だとアナリストは指摘する。(IDG)

[IDG Japan]
IDG

 米大企業で最近相次いでいる情報漏えい事件のうち、幾つかは内部関係者の犯行であり、このことは、企業ITマネジャーにとって、データ利用ポリシー遵守の監視と徹底のための厳しい社内統制が必要であることを浮き彫りにするものだ。

 しかし、セキュリティアナリストらによると、サプライヤーや受託業者、取引先、顧客への企業ネットワーク開放という昨今の流れが、そうした社内統制をますます困難なものにしているという。

 先週、Bank of Americaは顧客約6万人分の情報が米ニュージャージー州を本拠とするデータ窃盗団によって盗まれたことを明らかにした。窃盗団は、ほか3行の銀行からも電子口座記録を盗んだとされる。警察によると、この窃盗団には被害に遭った4行の行員8人が加わっており、総計70万人近い顧客の口座データを組織的に盗んだ罪に問われている。

 この一件と、信用調査会社のChoicePointで今年起きた同様の事件はいずれも、盗まれたデータに対して正規のアクセス権を持つエンドユーザーの犯行とされているとForrester Researchのアナリスト、マイケル・ラスムーゼン氏は指摘する。

 「こうした背任行為は、従来型のハッカーによる犯行より、はるかに大きな脅威だ」とラスムーゼン氏。世界規模で事業展開し、各国にサプライヤーを持ち、オフショアにアウトソーシング先を抱える大企業の場合が特にそうだと言い添えた。

 ニューヨーク州のロチェスター大学で情報セキュリティ責任者を務めるキム・ミルフォード氏は、内部関係者によるセキュリティ事件に対処する最良の方法は持続的な啓発プログラムの確立だと思うと語っている。この手のプログラムは、ITスタッフ、エンドユーザー、会社幹部、外部関係者といったグループごとに、それぞれに合ったものを別個に用意する必要があると同氏。

 ミルフォード氏は、同じく重要なこととして、セキュリティ上の責務を明記した業務定義書、データ利用指針、秘密保持規定といったものによる管理統制の必要性を指摘する。「ITマネジメント層は、人的要因を考えるという古きよき手法ではなく、テクニカルな統制という手法で情報漏えいに対処する傾向にある」と同氏。

 米財務省検察局とカーネギーメロン大学のコンピュータ緊急対策センター(CERT/CC)が5月16日発行した報告書によると、企業はまた、パスワード、ユーザーアカウント、設定管理の正しい習慣を導入するとともに、解雇社員のネットワークアクセスを無効するプロセスを定める必要がある。

 さらに、社員の不満に対処し、処分を受けたり昇進を見送られた社員の反応を監視する正式なプロセスも必要だとしている。この報告書は、1996年から2002年に起きた、コンピュータシステム経由の内部関係者による49件の攻撃についての調査に基づいている。

 財務省検察局国家脅威評価センターのマット・ドハティ特別捜査官によると、「これら事件のうち92%は、仕事関係の摩擦が引き金となって内部関係者が犯行に及んだものだった」。ただし、こうした攻撃のほとんどが計画的で、未然に防ぐのが難しい衝動的な攻撃でないのは、いい知らせだと同氏は指摘している。

Copyright(C) IDG Japan, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ