個人情報保護法をきっかけに、企業における情報セキュリティ対策の導入が進んでいる。こうしたソリューションの選択方法と、業務遂行を妨げない正しい運用方法とはどのようなものか。
2005年4月に「個人情報保護に関する法律」(個人情報保護法)が施行され、およそ1年が経過した。これを一つの契機として、同法の対象となる企業では情報漏洩対策が急激に進んだことは間違いのない事実だろう。しかし、それにもかかわらず個人情報の漏えい事故の報道を見ない日はない。
これは、さまざまな情報漏洩対策を実施していても、実際には正しく運用できていないことが原因だ。例えば、情報漏洩対策は実施しているが、業務遂行を妨げることなくセキュリティを保つというバランスを維持できていないケースが多い。
情報システム部門が中心となって、情報セキュリティ対策のためのさまざまなソリューションが導入される。すると当然のことだが、導入前と比較して業務がやりづらくなる。そのため現場から反発があり、セキュリティを高く設定した運用ルールをついつい緩めてしまう。本来ならセキュリティポリシー上で許されないことが、例外として許されてしまう。
このような悪循環が起きていないだろうか。
セキュリティ対策を実施することはもちろん重要だが、それが業務遂行の妨げになってしまうことは大きな問題だ。しかし、日常業務における利便性を重視するあまり、セキュリティ対策をおろそかにすることは許されない。業務とセキュリティのバランスを具体的にどのような方法で保つかが、今後の情報セキュリティ対策の大きな課題といえる。
例えば、業務とセキュリティのバランスが問われるケースとして、下記のような場面が想定される。
こうしたケースに対して、バランスの良い対策とはどのようなものであろうか。
まず、セキュリティと業務のバランスが問われる最も重要なケースは、PCを社外に持出す場合である。情報漏洩対策の観点からPCの持ち出し自体を禁止している企業も増えてきているが、業務の必要性から社員PCのモバイル利用を認めざるを得ないケースは多い。
しかし、社内では職場の人目が気になり自粛するような行動でも、社外ではついついしてしまいがちだ。このため、社外でのPC利用は社内以上のセキュリティリスクが存在することになる。
まず、その傾向が顕著に現れるのが社外でのインターネット利用である。特に社外でのインターネット利用は非常にリスクが高いことが下記グラフで分かる。
上のグラフによると、74%が「私的目的で利用することがある」と回答。社外でのインターネット利用には、一般的な情報サイト閲覧のほかに、Webメール(計58%がよく利用する、たまに利用する)や掲示板サイトの閲覧・投稿(同44%)も含まれており、情報漏えい事件発生のリスクも高いことが分かる。
Webメールやインターネットストレージは、PCに保存されているファイルをインターネット経由で持出せることを意味する。社内外を問わずUSBなどの外部デバイスによるファイル保存を禁止している企業は多いが、インターネット経由の持ち出しについてはまったく考慮していないケースが驚くほど多い。職場の周りの目がない場合、持ち出しリスクは高くなることを認識しなければならない。
こうした問題への具体的な対策としては、社外のインターネット利用が管理できるフィルタリングソフトの活用があげられる。従来、フィルタリングソフトは社内のインターネット利用のみフォーカスがされてきたが、モバイルPCの利用が増えている現状では、社外でのフィルタリングをも考慮した製品を選ばなければならない。
また昨今の関心の高まりを受け、単なる暗号化システムやDRM(Digital Rights Management:電子データの著作権管理)システムなども「情報漏えい防止」を標榜しており、ユーザーから見ると多くの選択肢がある。製品選択のポイントは多数あるが、重要な要素として、モバイル環境でも同等の機能やポリシーを使える製品かどうかをチェックすべきであろう。
以上のように、社外への持ち出しを許可するには、持ち出したPCに対してのセキュリティ対策を必ず実施する必要がある。持ち出しPCには一定のセキュリティ対策を行ったうえで、はじめて業務とセキュリティのバランスを保つことができるのだ。
取引先など社外に社内の機密ファイルを提供しなければならないケースも存在する。セキュリティを考えるあまりファイル提供を禁止してしまったらそもそも業務が進まない。しかし、情報漏洩事件の中には、自社の取引先から提供したデータが流出したような事例も多くある。このため、機密ファイルの提供方法は細心の注意を払わなければならない。社内では、厳密にファイルアクセス管理をしていても、社外へデータを提供した瞬間、システムによる管理ができなくなってしまったのでは意味がない。
今のところ、ファイルを作成したアプリケーションによる機能でパスワードを設定し運用している企業が多いが、これでは心許ない。パスワードに加えて、ファイルに対し下記のようなアクセス権限を設定できることが望ましい。
自社で社内の情報漏洩ソリューションを導入する際には、このような機能を装備しているかもチェックすべきであろう。
以上、今回はセキュリティと業務のバランスが問われるシーンをとりあげた。次回は、今回の総論に続いてモバイル環境下におけるWeb利用を中心に最適なポリシーの構築手段を含めて解説する。そして、三回目ではファイルの取り扱いについてのセキュリティソリューションを解説する。
著者が所属しているアルプスシステムインテグレーションでも「ALSI Internal Security Solutions(アルシーインターナルセキュリティソリューション)というコンセプトのもと、企業内でセキュリティ事故を起こす主要な要因である「インターネット」および「ドキュメント」のアクセスコントロールを実現することで、企業内部のセキュリティを強化する製品を有している。例えば、モバイル環境にも対応したフィルタリングソフトの「InterSafe」はすでにフィルタリング市場でトップシェア(*1)を持っており、ドキュメントによる情報漏えいを防ぐ「DocumentSecurity」も急激に実績を伸ばしている。読者の製品選択の参考にしていただければ幸いである。
製品情報のページへ*1 富士キメラ 「2005ネットワークセキュリティビジネス調査総覧」による
Copyright © ITmedia, Inc. All Rights Reserved.