第8回 内部情報漏えい対策の常識(前編)知ってるつもり?「セキュリティの常識」を再確認(1/3 ページ)

情報漏えいの主なルートといえるのが内部からによるものだ。個人情報保護法の全面施行を控え、このリスクを小さくするためにやっておかなければならない対策は何だろうか。

» 2005年03月15日 08時00分 公開
[中原修(三井物産セキュアディレクション),ITmedia]

情報漏えい事件の現状

 企業の情報漏えい事件、特に、個人情報の流出を伝えるニュースが聞こえてこない日はない。本稿の作成中にも、某大手通信系の企業が2万件を越える個人情報を漏えいしたと報じられた(関連記事)。

 これら事件は頻繁に報じられるため、それぞれの事件報道に対する印象は薄れつつあるのかもしれない。しかし、事件を起こした当事者の立場で考えた場合、漏えい事件が発生した場合のダメージは大きなものであり、今や企業としての存続を脅かすほどのリスクとなっている。具体的にどの程度のダメージが発生するのか? 日本ネットワークセキュリティ協会(JNSA)が2004年に公表した報告書によれば、表1の通りである。

表1●個人情報漏えい事件の比較表(2002/2003 年)
 2002年2003年備考
漏えい事件数 62件(55件) 57件(51件) 括弧内は被害者数が判明している事件数
損害賠償総額 189億2201万円 280億6936万円
最大損害賠償額 90億円 71億1990万円
平均損害賠償額 3億4403万円 5億5038万円 被害者数が判明している漏えい事件による平均
総被害者数 41万8716人 155万4592人
最大被害者数 10万人 56万人
平均被害者数 7613人 3万482人 被害者数が判明している漏えい事件による平均
出展:2003年度情報セキュリティインシデントに関する調査報告書 日本ネットワークセキュリティ協会

 損害賠償額について平均5.5億円余りという統計が出ており、前年度(2002年)の3.4億円から大きく増加している。実際には、損害賠償費用に加えて訴訟費用などの事故対応費用も発生する。さらには、企業イメージの低下による悪影響も発生すると考えられる。4月からの個人情報保護法の全面施行を控え、このリスクを可能な限り小さくするために、我々が今やっておかなければならない対策は何だろうか。

情報漏えいの原因は?

 情報漏えいへの対策を考えるにあたり、その原因や流出経路を知ることは有用である。前出のJNSAの報告書によれば、それぞれ表2、表3のような統計が得られている。

表2●情報漏えい原因(2003年)
情報漏えい原因比率情報漏えい原因比率
誤操作 18% 盗難 7%
設定ミス 16% 不正アクセス 4%
管理ミス 12% 置き忘れ 2%
情報持ち出し 9% その他 11%
内部犯罪 9% 不明 5%
バグ/セキュリティホール 7%
出展:2003年度情報セキュリティインシデントに関する調査報告書 日本ネットワークセキュリティ協会

 表2の情報漏えい原因は「主に外部要因による漏えい」と「主に内部要因による漏えい」に分類できる。

・主に外部要因による漏えい

 外部要因による情報漏えいは、社外に存在する脅威(クラッカー、泥棒)によって引き起こされる。このタイプの情報漏えい原因として「バグ/セキュリティホール」「不正アクセス」「盗難」が考えられる。

・主に内部要因による漏えい

 内部要因による情報漏えいは、社内ユーザーによって引き起こされる。原因としては、「誤操作」「設定ミス」「管理ミス」「置き忘れ」といった過失によるものや、「情報持ち出し」「内部犯罪」のような悪意を伴ったものがある。

 表2の比率から「主に内部要因による漏えい」が66%を占めることがわかる。今求められているのは「主に内部要因による漏えい」に対する対策だと言えるだろう。

表3●情報漏えい経路(2003 年)
情報漏えい経路比率情報漏えい経路比率
Web経由20%PC本体11%
E-Mail経由17%FTP経由2%
FD等可搬記録媒体14%その他4%
紙媒体経由14%不明18%
出展:2003年度情報セキュリティインシデントに関する調査報告書 日本ネットワークセキュリティ協会
図1 図1■内部情報漏えいルート

 情報漏えい経路としては、「Web経由」「E-Mail経由」「FTP経由」に見られるように電子データが漏えいする場合と、「FD等可搬記録媒体」「紙媒体」「PC本体」のように物理的なものが持ち出されて漏えいする場合がある。ただし、「FD等可搬記録媒体」「PC本体」については、それらの内部に記録された電子データが漏えいしているとも考えられる。従って、「電子データの漏えい」への対策を行う必要があるといえる。

 以上をまとめると、「社内ユーザーが扱う電子データの漏えい対策」が求められていることは疑いがない。以下、内部情報漏えいへの対策について紹介する。

まずはリスクアセスメントから

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.