データ流出を防ぐ必携ツールとプロセス：判断するプロセスが重要

有効なテクニックと自社に合ったツールの選び方を紹介する。

[Mike Rothman，TechTarget]

　企業のデータは常にリスク（特に組織内部のリスク）にさらされている。この状況はますます明らかになってきた。これは、情報セキュリティに関するニュース記事に注意を払っている人にとっては驚くようなことではない。しかし、これまでデータ流出を監視するプロセスや技術が未熟であったため、ほとんどの企業は現実に目をそむけてきた。

　悪党どもが主に欲しがっているのは、個人を特定できる情報（Personally Identifiable Information：PII）だ。具体的にはメールアドレス、社会保障番号、クレジットカード情報などであり、これらの情報はなりすましの手段として利用できる。残念ながら、アカウントを盗むために使える情報の市場だけでなく、他人の名前をかたって信用を手に入れるのに使う情報を売買する巨大な市場も存在する。データ流出事件として過去最大の規模となったTJX Companiesの事件は、個人データの流出がどのような結果を招くかをまざまざと見せつけた。

　データ流出のもう1つの大きな要因は、知的財産（IP）だ。DuPontの企業秘密の盗難は有名だが、たいていの企業は知的財産情報の流出を公表したがらないため、一般に知られていない流出事件は何百件も存在する。どんな企業でも、自社の知的財産のかなりの部分をデジタル化している。つまり、悪意を持った従業員や無警戒な従業員が、いつでも知的財産情報をリムーバブルメディアにダウンロードしたり、電子メールに添付したりする可能性があるということだ。そうなれば一巻の終わりだ。流出した情報は元に戻らない。

　情報流出に伴う損失は明らかであり、問題は「アウトバンド」（外に出ていく）コンテンツを保護するにはどうすればいいかということだ。対策の出発点となるのは、トレーニングなどを含めた多面的なアプローチだ。トレーニングの目的は、自社のポリシーの内容、そしてそれに従わないことに伴う結果を従業員に周知徹底することだ。

　しかし、トレーニングの前にやるべきことがある。何を保護するのかを明確化することだ。すなわち、社内にあるデータを調査し、誰がどんな目的で利用できるようにするかを規定することだ。どんなデータがどこに保管されているのか確認するだけでも有意義だろう。この組織的作業により、それまで気付かなかった多数の情報流出ポイントを取り除ける場合が多いからだ。