情報漏えい対策の導入が失敗する理由――シマンテックがアプローチ法を伝授

機密情報の漏えいは社会的信用の失墜などを招く。しかし、単に対策を導入するだけでは正しく機能しないとシマンテックは指摘する。

» 2008年09月29日 06時00分 公開
[國谷武史,ITmedia]

 企業の機密情報の流失事件が後を絶たない昨今、シマンテックによると、情報漏えいの防止を目的とした対策技術「DLP(Data Loss Protection、Data Leakage Preventionなど)」に注目する企業が増加している。だが、対策技術の導入準備が不十分なために、対策が正しく機能しない場合もあるという。

米陸軍で情報管理業務も経験したラスカウスキー氏

 コンサルティングサービス本部ディレクターのテルミ・ラスカウスキー氏は、DLPの導入、実施において3つの問題が存在すると指摘する。「重要な情報」と定義する根拠が明確ではないこと、情報の利用を「誰が許可するのか」が明確ではないこと、「企業の外部」とは具体的にどの範囲を指すのかが明確ではないという点である。

 「例えば、“個人情報”といっても本人を特定するためには複数の情報を組み合わせなければならない。個人情報を構成するものをどのような基準で定義するのかを明確に実施しているケースが少ない。また、機密文書の利用を許可する権限をどのような基準で誰に与えるべきかと考えている企業が少なくない」(同氏)

 こうした点は、機密情報を取り扱う担当者や経営者の情報セキュリティに対する意識が十分に醸成されていないことが原因の一つであると、ラスカウスキー氏はみている。その結果、重要性の高い情報の利用や管理が正しく行われず、情報漏えい事故に結び付く可能性が高まってしまう。

 同氏の定義するDLPとは、組織の「重要な情報」が「許可なし」に「組織の外部」に流失するのを防ぐというものである。DLPの導入および実施では、まず情報の重要度を誰がどのような基準で定義し、漏えいとはならない利用範囲をどのような基準で定めるのかというアプローチが不可欠になる。

 このアプローチを怠ると、重要ではない情報に対して漏えいの危険があると警告したり、逆に重要な情報の漏えいを見逃したりする恐れがある。「最終的には誰もが不便に感じ、DLPのシステムを停止させざるを得なくなってしまう」(同氏)

情報分類の手間は惜しまずに

 DLPの導入、実施は、企業が取り組むべきセキュリティ対策の一つではあるが、ラスカウスキー氏は、情報漏えい事故がもたらす経営への影響(信頼喪失、対処コストの発生など)を考慮して、企業内統治を実現するための手段としてDLPを活用していくことが重要だと述べている。

情報漏えいは事業継続を脅かす経営リスクとして対策に取り組む

 しかし、DLPはシステム担当者の業務を増やすばかりではなく、ユーザーとなる一般社員が不便だと感じ、敬遠されてしまう可能性があるとも指摘する。例えば、社員が気軽に電子メールへ添付したデータがDLPの警告対象となり、送信を止められるという具合だ。「一見するとDLPは手間ばかりがかかるような印象を与える。だが、事故発生のリスクを考え、情報管理を正しく行うという経営視点で取り組んでいかなければならないものだろう」(同氏)

 DLPを導入する上では、まず情報漏えいという経営上のリスクを考慮し、リスク分析から定義した指標に基づいて情報(データ)の重要性を分類する。次に、データが存在する場所(クライアント上か、サーバ上かなど)を正確に特定する。その上で、組織として認定した権限者が利用ルール(印刷や移動の可否など)を定義する。これらの環境を整備した後にDLPを導入し、新たに生成されるデータを含めてシステムによって管理していく。

DLP導入に向けた情報(データ)の整理が第一歩

 「共有ファイルサーバに人事情報とランチメニューが一緒に保存されてはいないだろうか。ほとんどの企業では、データの分類自体が十分に行われていない。面倒がらずに取り組むのがDLPの第一歩になる」(同氏)。企業の情報管理は、「データの分類」と「利用者の分類」「場所の分類」がそろって初めて実現すると話している。

 「DLPは24時間運用するもので特定の担当者だけに任せていては大きな負担になる。確実に漏えいのリスクと減らすためには、担当者や関連部署、監査部門が役割分担をしながら、情報を適切に管理していく体制を構築すべきだろう」(同氏)

過去のセキュリティニュース一覧はこちら

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ