ニュース
2004/05/19 21:49 更新
INSIの岩見氏、「情報漏洩対策は『性悪説』ではなく『環境説』で」
バーテックス リンクが開催した「情報漏洩の実情と組織的/技術的対策」セミナーにおいて、インターナショナル・ネットワーク・セキュリティの岩見守和氏が講演を行った。
バーテックス リンクは5月18日、都内にて「情報漏洩の実情と組織的/技術的対策」と題するセミナーを開催。4月に発表されたばかりのコンテンツセキュリティ製品「WebWasher 5.0 CSM Suite」の概要説明や、同製品を用いてSoftEtherやSSL通信をチェック、遮断する模様のデモンストレーションが行われたほか、インターナショナル・ネットワーク・セキュリティ(INSI)の代表取締副社長を務める岩見守和氏が講演を行った。
Yahoo! BBの事件をはじめとして、最近では連日のように個人情報漏洩事件が報じられている。その原因はさまざまだが、ひとたびこうした事件が起これば、顧客にとって取り返しのつかない事態になってしまうことだけは確かだ。そして同時に、事件を引き起こした企業にも少なからぬリスクが発生する。情報漏洩防止の必要性が謳われ、来年より本格施行となる個人情報保護法への対応が急務とされているのは、こういった現状があるからだ。
さて、その対策に当たってしばしば言われるのが、「日本企業が従来取ってきた『性善説』ではなく、『性悪説』に立った対応が必要だ」という考え方だ。事実、ソフトバンクBB側の孫正義社長は、情報漏洩事件の調査に当たった個人情報管理諮問委員会の答申を受け、「これからは性悪説に立ってやっていかなければならない」と述べたという。
しかし岩見氏は、今必要とされているのは、性善説か性悪説かという単純な二元論ではないと指摘する。むしろ、「われわれとしてはこうした二元論の代わりに『環境説』を提唱したい。つまり、良いか悪いかの議論ではなく、『情報を持ち出してやろう』『不正を働いてやろう』と考える社員をあきらめさせるような環境をいかにして作るか、という考え方だ」(同氏)。
というのも、うっかりミスなどは別として、本格的に情報を狙ってくる確信犯を防ぐのは困難だからだ。「コンプライアンスプログラムによって組織的に情報漏洩を防止するだけでなく、確信犯による持ち出しを防ぐ技術的な対策を図ることが重要だ」(岩見氏)。同時に、個人情報保護に関する責任者を配置することもポイントという。
情報漏洩対策は企業の社会的責任に
岩見氏は、こういった取り組みを進めている企業の例として、松下電器産業を挙げた。同社では、中村邦夫社長のリーダーシップの下、情報セキュリティリスクに関する新部門「情報セキュリティ本部」を設置し、全社的な対策を進めているという。というのも同社では、個人情報の漏洩は企業の存亡に関わるリスクととらえているからだ。
「かつては公害を垂れ流す企業や欠陥商品を販売する企業は社会悪とされた。今はそれが、情報漏洩企業ということになる。個人情報をしっかり守る組織であることが企業の社会的責任であり、ひいてはそれが日本の国際競争力にも反映してくる」(岩見氏)。
そのためには、個人情報保護法の遵守体制を整備し、収集や閲覧、改定、配布から廃棄にいたる個人情報のライフサイクルすべてにわたってセキュリティを確保しなければならないと同氏。具体的には、利用目的の特定やノートパソコンも含めた情報の洗い出しといった作業をきちんと行う必要があるという。
岩見氏は、そうした作業の参考になるのが、全社的、かつ継続的な教育やエビデンスの取得などが求められるプライバシーマークの取得だと述べた(実際のところは、プライバシーマークを取得したからといって100%万全の体制が整う、ということにはならないだろうが、ひとつの目安にはなるだろう)。
さらに岩見氏は、技術的対策のいくつかのポイントにも触れた。サーバ中心型のセキュリティだけでなくクライアントセキュリティが非常に重要になっていること、不正侵入検知システム(IDS)をはじめとする高機能なセキュリティシステムをきちんと使いこなすにはノウハウが必要であり、サポートにも相応の投資が必要であること、などだ。
また、一連の技術的対策を前提しながらも、最後にモノを言うのは「人」だとも言う。「技術的な対策は必要だが、最終的に決め手となるのは人であり、そのための教育が必要だ」(岩見氏)。技術と人の両輪がうまく回ることが、情報漏洩対策においては肝心だという。
関連記事
バーテックス リンク、IMもブロック可能なコンテンツセキュリティ製品新版Yahoo! BBの情報漏えいに関する答申公表、孫氏は「性悪説に立つ」と反応関連リンク
バーテックス リンクインターナショナル・ネットワーク・セキュリティ(INSI)[高橋睦美,ITmedia]
Copyright © ITmedia, Inc. All Rights Reserved.
