第8回 内部情報漏えい対策の常識(前編):知ってるつもり?「セキュリティの常識」を再確認(1/3 ページ)
情報漏えいの主なルートといえるのが内部からによるものだ。個人情報保護法の全面施行を控え、このリスクを小さくするためにやっておかなければならない対策は何だろうか。
情報漏えい事件の現状
企業の情報漏えい事件、特に、個人情報の流出を伝えるニュースが聞こえてこない日はない。本稿の作成中にも、某大手通信系の企業が2万件を越える個人情報を漏えいしたと報じられた(関連記事)。
これら事件は頻繁に報じられるため、それぞれの事件報道に対する印象は薄れつつあるのかもしれない。しかし、事件を起こした当事者の立場で考えた場合、漏えい事件が発生した場合のダメージは大きなものであり、今や企業としての存続を脅かすほどのリスクとなっている。具体的にどの程度のダメージが発生するのか? 日本ネットワークセキュリティ協会(JNSA)が2004年に公表した報告書によれば、表1の通りである。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
損害賠償額について平均5.5億円余りという統計が出ており、前年度(2002年)の3.4億円から大きく増加している。実際には、損害賠償費用に加えて訴訟費用などの事故対応費用も発生する。さらには、企業イメージの低下による悪影響も発生すると考えられる。4月からの個人情報保護法の全面施行を控え、このリスクを可能な限り小さくするために、我々が今やっておかなければならない対策は何だろうか。
情報漏えいの原因は?
情報漏えいへの対策を考えるにあたり、その原因や流出経路を知ることは有用である。前出のJNSAの報告書によれば、それぞれ表2、表3のような統計が得られている。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
表2の情報漏えい原因は「主に外部要因による漏えい」と「主に内部要因による漏えい」に分類できる。
・主に外部要因による漏えい
外部要因による情報漏えいは、社外に存在する脅威(クラッカー、泥棒)によって引き起こされる。このタイプの情報漏えい原因として「バグ/セキュリティホール」「不正アクセス」「盗難」が考えられる。
・主に内部要因による漏えい
内部要因による情報漏えいは、社内ユーザーによって引き起こされる。原因としては、「誤操作」「設定ミス」「管理ミス」「置き忘れ」といった過失によるものや、「情報持ち出し」「内部犯罪」のような悪意を伴ったものがある。
表2の比率から「主に内部要因による漏えい」が66%を占めることがわかる。今求められているのは「主に内部要因による漏えい」に対する対策だと言えるだろう。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
情報漏えい経路としては、「Web経由」「E-Mail経由」「FTP経由」に見られるように電子データが漏えいする場合と、「FD等可搬記録媒体」「紙媒体」「PC本体」のように物理的なものが持ち出されて漏えいする場合がある。ただし、「FD等可搬記録媒体」「PC本体」については、それらの内部に記録された電子データが漏えいしているとも考えられる。従って、「電子データの漏えい」への対策を行う必要があるといえる。
以上をまとめると、「社内ユーザーが扱う電子データの漏えい対策」が求められていることは疑いがない。以下、内部情報漏えいへの対策について紹介する。
まずはリスクアセスメントから
Copyright © ITmedia, Inc. All Rights Reserved.