情報漏えいの上手な対応方法、ネットエージェントが指南
情報漏えいの影響を最小限に抑制するには、情報漏えいの特徴を平時から理解しておくことが重要になる。
ネットエージェントは、創業10周年の記念セミナーを都内で開催した。同社社長の杉浦隆幸氏が企業における情報漏えい対策のポイントを解説した。
杉浦隆幸社長杉浦氏は、企業の情報漏えい事故・事件の調査支援を手掛けてきた経験から、情報漏えい対策は事態を最小限に抑えることが重要だと指摘する。適切な対応をするためには、情報漏えいの特徴を正確に知ることがポイントになる。
情報漏えいが増加した背景の1つに、ITサービスや製品の普及の歴史が関係しているという。例えば2007年ごろから漏えい要因で注目されるようになったUSBメモリは、2000年に登場し、コンシューマー市場での普及を経て、企業でも頻繁に利用されるようになった。また、スパム配信を目的にアカウントの盗難が相次ぐGoogleのGmailが始まったのは2004年のこと。杉浦氏は、「情報漏えいで問題となっているITサービスや製品が初めて出現したのは6〜7年前」と解説する。
情報漏えいは、情報が初めて外部に流出する「一次漏えい」と、一次漏えいで流出した情報が拡散する「二次漏えい」に分けられるという。一次漏えいの代表的な要因はPCやUSBメモリの盗難・紛失、メールの誤送信などで、二次漏えいは、これらの要因にWinnyやShareといったP2Pソフトのネットワークが加わる。
また、企業のセキュリティレベルと漏えい件数の関係で見た場合、従業員数の多い大企業ほどセキュリティレベルが高い傾向にあり、漏えい件数も多い。中小企業はセキュリティレベルが大企業ほど高くはないものの、漏えい件数は少ない。しかし、最近の漏えい事故・事件では大企業から業務を委託された外部の中小企業で発生する傾向にある。こうした企業ではセキュリティレベルが低く、漏えい件数の多さが特徴だという。
情報漏えいが発生する確率は、杉浦氏の経験則から従業員30〜100人規模の組織で年1回程度という。また情報漏えいの発生状況について、「ハインリッヒの法則」と呼ばれる労働災害の発生頻度の法則を用いて解説する専門家も多い。ハインリッヒの法則は、1件の非常に重大な事故が起きる背景に29件の重大な事故が発生し、さらに重大事故につながる軽度なミスが300件起きているというもの。杉浦氏によれば、情報漏えいではこれらの割合が「1対5対50」になるとしている。
杉浦氏は、漏えい情報の内容について「影響度別に理解することもポイントになる」と解説する。漏えい情報の影響度は、「致命的な情報」「問題となる情報」「問題とならない軽微な情報」「組み合わせにより問題となる情報」に分類できるという。
「致命的な情報」の代表的なものは、機微情報を含んだ大量の個人情報や不正行為の証拠、防衛計画など。「問題となる情報」では顧客名の入った提案書や専門的な分野の情報といったものになる。「問題とならない軽微な情報」は、自社名のみが分かる情報やcookieのような識別情報などである。
杉浦氏は、特に「組み合わせにより問題となる情報」が重要だと指摘する。この種の情報は、単体では「問題とならない軽微な情報」だが、別の情報を加味したり、検索のような手段を使ったりすることで、個人を特定できるなど情報の詳細を知られてしまう性質を持つ。
ネットエージェントは、調査で情報を漏えいさせた人物の特定をする場合に、「組み合わせにより問題となる情報」に注目して調べることがあるという。杉浦氏によれば、疑われる人物が複数いた場合でも、この種の情報を調べることで90%の確率で特定できるとしている。
上手な情報漏えい対策
ニュース報道で取り上げられるような情報漏えい事件は、情報漏えい全体のごく一部であり、漏えいしている事実に関係者が気付かないケースが多い。企業の情報漏えい対策では、「漏えいをさせない」というアプローチに注目が集まるが、情報漏えいを完全に防ぐ方法はない。情報漏えいが発生した場合に、周囲への影響を最小限にするアプローチにも目を向ける必要がある。
杉浦氏は「重要情報に対する意識を持たなければ、情報は常に漏えいし続ける」と話す。漏えいした情報の重要性に対する関係者の意識が薄く、一次漏えいの段階で対応が不十分のまま、二次漏えいによって大規模な被害に発展した事件が少なくない。
情報漏えいが発生した場合の最善の対応策は、「社会に印象が残らないようにすること」(杉浦氏)という。同氏が紹介する対応策には、例えばマスコミへの事実公表を月曜日にすれば、ほかに幾つもニュースが配信されるために視聴者の印象に残りにくいといったものがある。公表内容は適切かつ簡潔である必要があり、公表回数も1回で完結することが望ましいとしている。
実際に情報漏えいが起きれば、短期間のうちにこうした対応をしなければならなくなる。そのためにも、先に挙げた情報漏えいの仕組みや情報の性質、影響といった点を、平時から理解しておくことが求められる。
企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック
関連記事
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- “脱Windows”が無理なら挑まざるを得ない「Windows 11移行」実践ガイド
- ランサムウェアに通用しない“名ばかりバックアップ”になっていませんか?
- 標的型メール訓練あるある「全然定着しない」をHENNGEはどう解消するのか?
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- 爆売れだった「ノートPC」が早くも旧世代の現実
- 攻撃者が日本で最も悪用しているアプリは何か? 最新調査から見えた傾向
ITmediaはアイティメディア株式会社の登録商標です。