うっかりミスの情報流出に効くDLPって何?Next Wave(1/2 ページ)

従来の情報セキュリティ対策は外部からの攻撃への対処が中心だったが、近年は身内の不正や過失による情報の漏えいの増加が深刻さを増している。そこで新たな対策として盛り上がりを見せ始めているのがDLPという手法だ。

» 2009年04月24日 17時30分 公開
[富永康信(ロビンソン),ITmedia]

情報漏えいはなぜ止まらないのか?

 企業の情報流出は、企業価値を著しく毀損する。経営情報や顧客情報、特許情報、研究データなど企業の情報資産は金額に代えることできない価値であり、その保護は重要な経営課題の1つといえるのだが、現実はどうだろうか。

 個人情報保護法やJ-SOX法などの法制度が整備される一方で、ISMS(情報セキュリティマネジメントシステム)認証やプライバシーマーク(Pマーク)の取得、各種ネットワークセキュリティ製品の導入を進めてはいるものの、情報漏えい事故は減少しておらず、むしろ増えているのが実情だ。

 日本ネットワークセキュリティ協会が発表した「2008年上半期情報セキュリティインシデントに関する調査報告書」によると、07年度の情報漏えいインシデント件数は864件、漏えい人数は約3053万人と過去最高を記録。2008年上期だけでも680件に達している。

 また、07年の個人情報漏えい事故における想定損害賠償額はおよそ2兆2714億円となり、1件あたりの平均損害賠償額は28億円近くにも上る。ある調査によると、記録媒体の高度化により漏えいする情報量も急増しており、紛失や置き忘れ、盗難によるものは減少傾向にある一方で、誤操作や管理ミスなど人の不注意を原因とした情報漏えいが増加しているのだという。

 内閣府が08年9月に発表した「平成19年度個人情報の保護に関する法律施行状況の概要」にもその傾向が表われている。機密情報漏えい事案848件のうちの92%が従業員による漏えいで、その中の81%がうっかりミスや機密の認識が欠如した不注意が原因だという。中でも、相変わらず頻発しているWinnyを媒介とした漏えい事故の原因は、96%が社員や元社員、委託先社員、委託先の元社員などの内部関係者の人間によるものだった。情報漏えいの根本原因は、このような関係者が無断で機密情報を持ち出していることにある。

情報漏えい事故の原因の大半は内部の関係者によるものが大半を占める(出典:日立システムアンドサービス、ソース:内閣府「平成19年度個人情報保護に関する法律施行状況の概要」2008年9月)

暗号化やログ監視やシンクライアントにも弱点が

 また、情報セキュリティ対策のニーズも変化している。Pマークが注目された2000年頃は、外部からの不正なネットワーク攻撃の対策が中心だったが、個人情報保護法やISO27001(ISMS)に取り組んだ2005年頃からは、情報漏えい事故の増加による法整備が進むとともに、次第に内部からの情報漏えい対策へと移り変わってきた。現在では、アクセスコントロールやデータ暗号化、ログ管理、シンクライアントなどいくつかの情報セキュリティ対策を複合的に導入するのが常識となっている。

「人間である以上、判断ミスや不注意などの発生は避けられず、情報漏えい対策の徹底は極めて困難」と語る日立システムの稲場隆一氏

 しかし、それら一般的な対策について、「アクセス権限を持つ人が情報を持ち出しているという現状がある限り、それらに過度な効果は期待できない」と悲観的な見方をするのは、日立システムアンドサービスのネットワークプロダクト部でセキュアコンテンツアプライアンスグループの主任技師を務める稲場隆一氏だ。同社が開催した「第34回 Prowise Business Forum」で、ヒューマンエラーによる機密データの持ち出しを防止する仕組みについて解説した稲場氏は、それぞれに弱点があると話す。

 まず、暗号化については外部からの盗難に対しては効果があるが、機密データの持ち出しを防止はできない。また、ログ監視も抑止効果はあり誰が持ち出したかの原因は追求できるが、持ち出しそのものを防止するものではない。データを持たせないシンクライアントもモバイルPC自体の盗難や紛失には有効だが、メールなどネットワーク経由でのデータ持ち出しは防げないといった問題がある。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ