情報漏えいで目立つ紙媒体、きちんと管理していますか:会社に潜む情報セキュリティの落とし穴(2/2 ページ)
お粗末な事務デスクの管理
このような管理をしていても、実際に運用するのは人間であり、情報セキュリティ管理者が毎月、毎年といったタイミングできちんと啓蒙活動や教育を社長から新入社員まで幅広く実施しないとまさしく「絵に描いた餅」になってしまう危険があります。
実際に幾つかの会社のケースでは休日に検査したらところ、施錠することが決められている事務デスクが施錠されていない、キャビネットにも鍵がかかっていないということが多数発見されました。まずは、社内での抜き打ちチェックなどを実施することをお勧めします。初めてならば、まず間違いなくどこかにそういったものが発見されるはずです。その後、何回も何回も抜き打ちチェックするにつれて、このような危険性は減少していくでしょう。
そして、併せて実施することで効果が高まり、一部の上場企業では内密に行われていることもあるのが「トラッシング(ごみ箱あさり)」です。多くの企業では通常、紙文書の情報漏えいを防止するために「ミスプリントした紙をメモ用紙として使わない」「紙は原則として、すべてシュレッダーにかける」といったルールが導入されていますが、トラッシングは本当に守られているかを検査するのが目的です。
抜き打ちで従業員のゴミ箱の内部を検査して、紙がないか、デジタルメディア(壊れたUSBメモリとかフロッピーディスクなど)が捨てられていないなどを逐次調べます。企業によっては、総務部が担当したり、情報セキュリティ担当者が実施したりとさまざまですが、この調査も意外に効果が高いといわれます。中には部門単位で競争させて、1件もミスが無ければその部門全体を表彰するという企業もあるようです。
一番難しい紙文書の管理
IT業界をはじめ、ほとんどの企業ではコンピュータ化が進み、多くの情報がデジタル化されています。そのため、USBメモリやネットワーク上に設置されるファイアウォール、スパムメール対策などデジタルの対策技術は、すでにデジタル化されている情報の漏えい対策として比較的容易に行えるものでしょう。
その反面、紙媒体の管理を情報漏えい対策という視点で実施しようとするなら、相当の費用がかかるのが通例です。どのように頑張ってみても、一部の企業を除いて紙媒体そのものを廃止することは事実上不可能ですし、中身をすべてチェックするのはさまざま点で壁が存在します。紙媒体の管理は、リスクを最小限にするという点が重要になるでしょう。
情報漏えいの実態について、興味深い事柄がJNSAの報告書から読み取れます。それは紙媒体とUSBメモリを比較した場合、どちらも事案1件当たりの平均漏えい人数は5000人台と拮抗していますが、実際には規模によって異なります。
1件当たりの漏えい人数でみると、「10人未満」では紙媒体が401件であるのに対し、USBメモリは5件と、紙媒体が80倍以上も多いのです。しかし「10〜5000人未満」ではUSBメモリが多く、「10万人以上」では紙媒体が11件であるのに対してUSBメモリは1件です。表面的には平均化された数字ですので、どちらも拮抗した数字になっているかのようにみえます。
かつて、「紙という媒体は大量データの流出には向かない」という意見が情報セキュリティの専門家の間に広まったことがあります。しかし、この結果は状況によってデジタルでもアナログでも、どちらも大量の情報流出の危険が伴うという意味では差がないということを証明しています。件数でも漏えい規模でみても、紙媒体のセキュリティ対策は非常に重要だと言えます。
情報漏えい対策のコスト配分を考えた場合、論理的に考えれば費用対効果を第一に、一番効果の高いところへ重点的に配分して一番大きな効果を期待するのが企業の原則です。しかし、漏えい媒体で大きな比重を占める紙媒体への対策について、自信を持って「十分に費用、人材を投入している」と言える企業はほとんど存在しないのが現状です。
このように人間に依存する情報漏えい対策でも、きちんとできていることが情報セキュリティの鉄則です。読者の会社ではいかがでしょうか。
萩原栄幸
株式会社ピーシーキッド上席研究員、一般社団法人「情報セキュリティ相談センター」事務局長、コンピュータソフトウェア著作権協会技術顧問、日本セキュリティ・マネジメント学会理事、ネット情報セキュリティ研究会技術調査部長、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格した実績も持つ。情報セキュリティに関する講演や執筆を精力的にこなし、情報セキュリティに悩む個人や企業からの相談を受ける「情報セキュリティ110番」を運営。「個人情報はこうして盗まれる」(KK ベストセラーズ)や「デジタル・フォレンジック辞典」(日科技連出版)など著書多数。
過去の連載記事一覧はこちらから
関連記事
文書ファイルからの情報漏えい、取り扱いは正しいですか?
「相手に見せない情報を隠したはずなのに漏れてしまった……」。文書作成が簡単になった一方で、操作のミスや知識を知らないことで情報が露見してしまうことがある。文書ファイルの正しい取り扱い方を見直そう。
富士通、ユーザー認証とコスト削減を両立する印刷管理製品を発売
富士通は、ICカードによるユーザー認証とプリンタコストの分析機能を搭載した印刷管理製品「認証印刷ソリューション」を発売した。
富士通研、紙文書の暗号化と復号化ができる新技術を開発
富士通研究所は、印刷物の機密情報を暗号化/復号化できる新技術を開発した。閲覧権限に応じて復号化を制限する機能も持つ。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- ランサムウェアに通用しない“名ばかりバックアップ”になっていませんか?
- 標的型メール訓練あるある「全然定着しない」をHENNGEはどう解消するのか?
- “脱Windows”が無理なら挑まざるを得ない「Windows 11移行」実践ガイド
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- 爆売れだった「ノートPC」が早くも旧世代の現実
- 攻撃者が日本で最も悪用しているアプリは何か? 最新調査から見えた傾向
ITmediaはアイティメディア株式会社の登録商標です。