内部不正による情報漏えいを減らす方法は?歴史的事件から考える(1/3 ページ)

企業や組織の関係者による機密情報の漏えいは非常に対策が難しいといわれる。最近でも教育サービス企業から大量の個人情報が持ち出される事件が起きたばかりだが、このリスクにどう対処すべきか。情報セキュリティ業界の専門家が議論を交わした。

» 2014年10月07日 08時00分 公開
[國谷武史,ITmedia]

 2014年6月に発覚した教育サービス企業から数千万件もの個人情報が持ち出された事件。その漏えい規模は国内では過去最大級とされ、企業や組織の内部関係者による不正行為のリスクが大きくクローズアップされる出来事になった。10月6日に日本ネットワークセキュリティ協会(JNSA)が開催した時事ワークショップでは情報セキュリティや組織不正の分野に詳しい専門家が集まり、内部不正と情報漏えいの問題に企業がどう向き合うかについて意見を交わした。

見落としがちな最新技術の穴

 ディアイティ セキュリティサービス事業部長の青嶋信仁氏は、今回の事件で当該企業が発表した対策での技術面について一定の評価ができるとしつつ、情報を持ち出した人物が顧客情報をスマートフォンへコピーした点について触れた。

 この事件ではデータベースから業務用PCを経由してスマートフォンに顧客情報のデータが書き込まれたとされている。当該企業では外部メディアへのデータの書き込みを防ぐ技術的措置がとられていたものの、この方法が一部の最新スマートフォンに対応していなかったことで、データの書き出しを検知できなかったと報告した。

 この点について青嶋氏は、AndroidデバイスとPCを接続した際の状況をデモを交えて解説した。通常の接続ではPC側のOSが接続デバイスを認識すると、リームバブルメディアとしてデバイス内の記憶領域などにデータを書き込めるようになる。ただ、Android 3.1以降のデバイスでは「MTP(メディア転送プロトコル)」を利用でき、ユーザーがMTPモードを選択すると、PCとのデータのやりとりはAndroidデバイス側が管理できる。

 例えば、WMV形式のファイルをPCからAndroidデバイスへ転送すると、従来のモードではファイルがデバイスに書き込まれるが、MTPモードでは事前に「再生できない場合がある」といったアラートがユーザーに表示される。これは、Android側がデバイスで再生できないデータを認識できることによって可能になる仕組みの1つだ。

MTPモードによるアラートの一例(青嶋氏のデモンストレーションより)

 青嶋氏によれば、外部メディアへのデータの書き出しを防止するツールの多くが、バージョンアップによってMTPモードに対応していた。しかし、こうした機能強化は企業や組織のセキュリティ担当者には“小さな機能強化”として注目されにくいといい、セキュリティ対策の要件から漏れてしまう可能性がある。

 技術面での対策を講じる上ではこうした最新の機能やその使い方をキャッチアップしていくことも重要になると指摘している。

想定被害額は約9000億円

 日本マイクロソフト チーフセキュリティアドバイザーの高橋正和氏は、今回の事件における想定被害額が9016億円になるとの試算を紹介した。これはJNSAが提示している情報漏えいの損害額を算出する方法から導き出されたもので、この結果は漏えい規模によって左右されるが、大量の情報漏えいによって企業や組織は甚大な損害を被ることが分かる。

 当該企業が発表した対策について、高橋氏はITセキュリティの観点からは概ね評価できるものの、セキュリティ対策の運用面が懸念されると指摘した。

 例えば、組織体制について当該企業の情報セキュリティ対策では専門部署が所管することが示されたものの、縦割り型の風土が強い組織において専門部署が実際にどの程度機能するのか不透明さが残る。また、セキュリティ対策の運用状況に対するチェック機能についても、新たに導入する手法自体が妥当なものであるか、実効性のある形で機能していくかも注目される。

内部不正による情報漏えい事件での対策における勘所(高橋氏の講演資料より)

 高橋氏は、内部不正における対策としては非常にレベルの高いものだが、大量の重要データを保有する企業にとっては実施すべきものであり、これが適切に実行されていけば、今後の内部不正による情報漏えい対策の模範になるのではないかとの見方を示した。

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ