情報漏えい対策で重要なことは？：特別企画 あらためて学ぶITキーワード（2/2 ページ）

[＠IT情報マネジメント編集部，＠IT]

事故が起きる想定で対策を

　このように、情報漏えいを予防するための施策を用いていても、情報漏えいが起きないとはいえない。そのような、万が一にも情報漏えい事故が発生してしまった場合に企業が行わなければならないのは、「社外への適切な説明」と「証拠の収集」だ。社外への説明をするためには、「なぜ起きてしまったか？」や「誰がしたのか？」などを説明しなくてはならないため、証拠の収集と同時にこれらも調査する必要がある。

　このような事後的な調査に有効なのが、ログなどのトラッキング（追跡）／解析だ。ユーザーの操作ログやメールの送受信記録、サーバへのアクセスログなどを保存しておけば、万が一情報が漏えいしてしまった場合でも、そのログを追い掛けることで漏えいした原因を突き止め、証拠を導き出すこともできる。

　こういったトラッキング機能は、漏えい後の調査にも有効であるうえ、情報漏えいを防ぐための最大の抑止力となり得る。いくら悪意のある内部犯も“必ず見つかる”と分かっていれば、思いとどまる可能性が高くなるはずだ。

　このように、その機能を使う必要のない人には「うっかり」「間違って」使うことができないように予防するとともに、正当な利用者に対しても監視ツールやログトラッキングなどの導入によって「悪意」や「出来心」による情報の持ち出しを防止することが可能だ。心理的効果を有効活用することで、セキュリティ対策で最も重要な「生産性を落とさずに、セキュリティを担保する」という点を、より効果的に実現できるのである。

　「性善説では限界がある。性悪説の立場でセキュリティ体制を確立すべし」という意見もあるが、情報漏えい防止ツールでがんじがらめにしてしまっては本末転倒だ。適切なアクセス権限付与や心理的効果などをうまく活用して、情報漏えいリスクが低くかつ誰もが働きやすい、快適なIT環境を実現してほしい。