情報セキュリティ教育をおろそかにする弊害セキュリティリスクの変化に強い企業文化(2/3 ページ)

» 2010年01月13日 07時00分 公開
[小川真毅,ベライゾンビジネス]

個人情報漏えいは管理ミスがトップ

 情報漏えい問題が頻繁に取り上げられるようになって久しいですが、その件数は減少するどころか増加傾向にあります。Verizon Businessが2009年4月に発表した報告書によると、2008年に全世界で漏えいしたデータ数は2億8500万レコードで、2004年〜2007年の合計が2億3000万レコードだったことと比較して飛躍的に増加していることが分かります。国内をみても、日本ネットワークセキュリティ協会(JNSA)が2009年8月に発表した「2008年 情報セキュリティインシデントに関する調査報告書 Ver1.2」によれば、2008年に発生したインシデント件数は1373件で、2007年に比べて509件も増加しています。

 こうした情報漏えいの増加傾向は、内部統制の強化による検出率の向上がある程度関係しているとは思われますが、やはり激しい環境変化やビジネスのグローバル化などにより、企業が抱える情報資産の管理もより複雑化し、効果的な情報漏えい対策の実施が難しくなっているのも大きな要因でしょう。

 管理の複雑化が大きな要因であるという理由には、同じくJNSA発表の報告書で[個人情報漏えいインシデント・トップ10の発生原因のうち、8件が「管理ミス」であり、残りの2つは「不正アクセス」と「内部犯罪・内部不正行為」です。つまり、情報漏えいの発生を防ぐには、いかに情報資産に対する管理上のミスや不備をなくすかが、大きなポイントになるのです。

情報漏えい対策の現状

 情報資産に対する管理上のミスや不備をなくすには、どのように情報漏えい対策を整備すればよいのでしょうか。それを考える上で、まず企業が実施している情報漏えい対策にどのような傾向があるかを見ることで、問題点が明らかになります。

 ここでもJNSAが発表した資料(2008年度 情報セキュリティ市場調査報告書)を見てみると、対象企業1520社が情報セキュリティ対策に投資した費用のうち、60%以上が「技術的対策」であり、続いてプロセス面での整備に関する「監視体制」が17%、従業員教育や体制整備などに関する「組織的対策」が15%程度と非常に低い値になっています。

 技術的対策は仕組みの導入費用がそのままコストになりますが、従業員教育はあまりコストをかけずとも実施できる部分があることと、そもそもどこまでが教育に要したコストなのかが判別しにくいという相対的な違いが結果に含まれていることも考慮しなければなりません。それらを考慮したとしても、はたしてこれは適度なバランスなのでしょうか。前述のように情報漏えいがいまだ増加傾向にあり、その原因の多くが管理上のミスであることを考えると、技術的対策に偏重している現状の情報漏えい対策の傾向には何かしら問題点があるだろうという仮説が成り立ちます。

 Verizon Businessの報告書の中では、漏えいした情報資産の3分の2以上は企業がその情報資産の存在そのものや、保管場所について十分認知していないものという分析がされています。それらの情報資産は、存在すら十分認識されていないわけなので適切な技術的対策が施されていた可能性は低いと考えられます。しかし、それが根本原因ではありません。なぜかと言えば、情報資産を適切に管理するためのプロセスや体制面での不備、もしくは整備されたプロセスにしたがって十分な情報セキュリティ意識を持って業務に取り組んでいなかったことによるミスなどによって、情報資産が適切に管理および保護されていなかったからです。

 この場合、管理できている範囲だけにいくらITを活用した技術的対策に投資をしても、十分な情報の保護効果は期待できません。つまり、情報セキュリティ教育をおろそかにする弊害とは、せっかく膨大なコストをかけた投資を無駄にしてしまいかねないというわけなのです。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ