情報漏えいの脅威、その原因と対策:企業セキュリティ古今東西(2/2 ページ)
漏えいの36%が内部の不正行為
この報告書では、情報漏えいの最終的なトリガーがワームやウイルスであっても、社内規定を無視し情報を持ち帰っていた場合などは「不正な情報持ち出し」として、社内管理が不十分だった場合は「管理ミス」として集計されている。また、表面化していない件数などを考えると、ワームやウイルス経由で流出した情報はさらに多くなるだろう。
さらに、情報へのアクセス権を持つ内部関係者が故意に個人情報を流出させる「内部犯罪・内部不正行為」も注意が必要な項目だ。こちらは全体の件数比率では2.2%という目立たない数値だが、被害者人数で比較すると新たな事実が見えてくる。
その事実とは、被害者人数を「内部犯罪・内部不正行為」と「それ以外」の原因で比べた場合、2006年ではなんと全体の36%が内部犯罪・内部不正行為に相当するというもの(図2)。つまり、1件当たりの平均情報漏えい人数が圧倒的に多くなっているのである。実際、2006年には400万人を超える個人情報漏えい事故が3件発生しており、そのうち2件については内部犯罪・内部不正行為が原因だ。
残りの1件についても原因が「不明」であり、被害者数の多さから判断すると内部犯罪・内部不正行為の可能性が極めて高い。このことから、内部関係者による犯罪自体は全体の件数こそ少ないが、発生した際はより被害が大きくなるといえるだろう。
USBフラッシュメモリの利点が大きな罠に
情報漏えいの原因が分かったところで、次に確認したいのはどのような経路をたどって企業外部に漏れたのかという点である。同報告書によると、2006年における漏えい経路別の件数割合は「紙媒体」が43.8%と3年連続でトップ(図3)。それでも電子文書化などの影響からか、やや減少傾向にあるようだ。「Web・Net」については、2005年の6.4%から22.0%まで急増して2位になっているが、これは前述したファイル共有ソフトの影響が大きいだろう。
一方、漏えい経路別の被害者数で比較した場合「FD等可搬記録媒体」が56.5%でトップとなっている(図4)。ここには大容量化が進むUSBフラッシュメモリなども含まれており、一度に大量のデータを持ち運べるというメリットがある半面、情報漏えい事故につながった際は被害が拡大してしまうわけだ。
また、「その他」に分類されている「専用端末」は件数こそ14件と少ないが、1件当たりの平均被害者数は2300人となっているため、こちらも警戒が必要だといえる。
まずは情報の統合管理から
ここまで紹介した内容を踏まえると、ファイアウォールやウイルス対策などのセキュリティ強化は基本として、情報漏えい対策にまず必要なのは“情報が統合管理できるシステム”を構築することである。情報が企業内に散在していれば、その一部が無くなったりコピーされたりしてもまったく気付かないだろう。
管理を担当者個人に任せるのではなく、常にシステム管理者が情報の流れを監視できるよう、積極的な体制作りが求められる。このようなシステムがあれば、情報漏えいの防止ばかりか、仮に事故が発生した際もログの追跡などで迅速に原因の究明が可能になる。さらには、統合した情報をマーケティングに活用するなど企業財産としての価値も高められるのである。
また、情報の統合管理システムが完成しても、あらゆるデータを全社員が閲覧・編集できてしまうのでは意味がない。内容や重要度で情報を明確に切り分け、それぞれの立場に応じたアクセス権を設定することが必要だ。中には、閲覧のみでコピーや印刷は禁止するといった仕組みも求められるだろう。こうしたシステムを構築できれば、ノートPCやUSBフラッシュメモリを使った不正な情報持ち出しも防ぐことができる。
さらに、ネットワークトラフィックや各端末の監視も忘れてはならない要素。例えば、ある社員がファイル共有ソフトを使っていた場合、ネットワークを常時監視しておけば接続先や時間、データ量などから不審な動きを迅速に発見することができる。また、資産管理ツールなどで端末にアプリケーションの制限をかけてインストールすら行えなくする方法も有効だ。
もちろん、これらの対策を現場から不満の声が上がるような強引な方法で進めるのは望ましくない。情報漏えいの防止は、現場から経営者層に至るまで、全社員が意志を統一してこそ実現する。そのためには、例えばデータを自宅に持ち帰らなくて済むよう、仕事量を調節したり必要十分なだけの端末を支給したりすることで、私物PCの持ち込みを制限するといった現場への配慮も必要となるだろう。
関連記事
「Winnyを使うかぎり漏えいはなくならない」、IPAが改めて危険性訴え
事故が起きていてもユーザーが減らないのはその危険さを分かっていないから――。IPAは11月度のセキュリティリポートで、ファイル共有ソフトを興味本位で利用することはすべきではないと強調した。
IPA、「情報漏えいしたらどうすれば?」をまとめたマニュアルを公開
IPAは、中小企業などで活用できる情報漏えいインシデント発生時の対応ポイント集を公開した。- FFR、Winny流出ファイル保持者のIPアドレスを特定するツール
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 爆売れだった「ノートPC」が早くも旧世代の現実
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- ランサムウェアに通用しない“名ばかりバックアップ”になっていませんか?
- PHPやRust、Node.jsなどで引数処理の脆弱性を確認 急ぎ対応を
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- GoogleやMetaは“やる気なし”? サポート詐欺から自力で身を守る方法
- 攻撃者が日本で最も悪用しているアプリは何か? 最新調査から見えた傾向
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
ITmediaはアイティメディア株式会社の登録商標です。