内部情報漏えい対策のポイントは「抑止」と「防止」にあり：個人情報保護時代の情報セキュリティ（1/2 ページ）

悪意ある行為やミスによって発生する内部情報漏えい。完全な対策を施したいと考えている企業は多いだろう。適切な手段を複合的に利用すれば、さまざまな要因に幅広く対応できる高レベルな対策を実現できる。

[烏山雄大，ITmedia]

　毎日のようにニュースで報道される情報漏えいは、決して対岸の火事ではない。守るべき個人情報や機密情報・ノウハウを何1つ持っていない企業はないだろう。内部からの情報漏えいは、明らかな故意によってだけでなく、PCや書類の紛失など、悪意のない単純ミスからも発生する。重要な情報を外部に流出させないためには、社員の悪意やミスから情報を保護するための対策が必要だ。

一般的に行われている内部情報漏えい対策

　内部に対する情報漏えい対策は、一般的に「抑止」と「防止」の2種類に分類できる。抑止策は、情報の漏えいがもたらすリスクや、万が一漏えいが発生してしまった場合の影響を最小限に抑えるために行うもので、防止策は、情報の漏えい自体が発生しないために行う対策ということになる。

内部情報漏えい対策の分類

　現在、多くの企業が一般的な対策として導入しているのは、ファイアウォール・IDSや、VPNによる通信経路の暗号化といったセキュリティ対策だ。これらは情報漏えいの防止策としても有効であるが、TCP／80（HTTP）など通常許可されていることの多いポートだけを利用して通信するVPNソフトなどもあり、ポートの制限だけでなく通信内容に合わせたコンテンツチェックを考慮する必要が出始めている。

　また、最近の傾向として、HDD暗号化・ファイル暗号化による対策を導入している企業も多い。PCや記憶媒体の盗難による情報漏えいは数多く起こっており、多いものでは数十万件の個人情報が流出したというケースもある。暗号化によって情報の悪用を防止できている事例もあるだけに、1つの有効な対策だと言えるだろう。また、USBメモリなど外部記憶媒体にデータをコピーする際に自動的に暗号化を行うソフトも登場してきている。

　ただしHDDの暗号化は、悪意のないミスへの対症療法としては十分効果を発揮するが、悪意を持った人間による情報漏えいを防ぐことができない。そこで、最近注目され導入も進みつつあるのが、「コンテンツフィルタリング」と「行動・操作・使用機器の制限ソリューション」である。