第13回 個人情報偏重の日本の漏えい対策、“機密”視点で考えるには？：日本型セキュリティの現実と理想（3/3 ページ）

[武田一城，ITmedia]

機密情報の定義と管理をどうするか

　機密情報は、その情報の価値がその組織が置かれた環境により、常に変わる可能性がある。価値が変わるということは、その実態を把握することが難しく、その管理は当然難しい。しかも、機密情報は分野や用途などにより運用も異なり、定型的な管理方法の確立というのは非常に難しい。ただし、それでも機密情報を一定レベルで守るためのそれなりのルールはあるので、以下に筆者なりに定義と管理の方法の概要を示してみた。

1. 機密情報を定義する
2. 機密情報の運用ルールを定める
3. 守るための対策を実施する
4. 情報の価値を定期的に棚卸しする
5. ログなどで管理されている機密情報が漏えいしていないかをチェックする
6. 攻撃や不正による流出の予見を行う仕組みを整備する

　上記のように、機密情報は情報を機密として定義（ランク付けやラベリング）し、運用ルールを決め、定期的に情報の定義と漏えいの有無をチェックする。機密情報の管理はこのサイクルを回し続けることに尽きると言っても過言ではない。

　これらはある意味で当り前の話だが、外部からのサイバー攻撃はもちろん、いろいろな例に見られるように内部不正による情報漏えいも多い。それだけに対策は多方面及び多岐にわたり、その対策は非常に難しい。その中でも一番大事なことは「漏えいに気づくこと」である。重要な機密情報が漏えいしたとしても、特許などで守る手段を持っていれば、そのタイミングで被害に最小にできるからだ。さらに、機密情報が漏えいする前に予見する仕組みがあれば理想的で、これができれば情報を守るための構造と運用サイクルができ上がる。

　このような仕組みを構築することによって、「下町ロケット」のように多くの企業が情報を守り、夢を叶えられるようになることを願ってやまない。主人公のいる町工場のように貴重な技術や価値ある情報を持った企業が日本に無数にあるはずだ。この日本の宝のような企業達が、夢を叶える前に情報漏えいに気づかずに失血死してしまうようなことだけは避けなければならない。

武田一城（たけだ かずしろ）　株式会社日立ソリューションズ

1974年生まれ。セキュリティ分野を中心にマーケティングや事業立上げ、戦略立案などを担当。セキュリティの他にも学校ICTや内部不正など様々な分野で執筆や寄稿、講演を精力的に行っている。特定非営利活動法人「日本PostgreSQLユーザ会」理事。日本ネットワークセキュリティ協会のワーキンググループや情報処理推進機構の委員会活動、各種シンポジウムや研究会、勉強会などでの講演も勢力的に実施している。

• TechTarget連載：今、理解しておきたい「学校IT化の現実」／失敗しない「学校IT製品」の選び方
• 著書「内部不正対策 14の論点」（共著、JNSA／組織で働く人間が引き起こす不正・事項対応WG）