尼崎事件に見る情報漏えい対策の“いろはのい” 増えている流出ルートは？（3/3 ページ）

[谷井将人，ITmedia]

アクセス権の管理は“いろはのい”

　21年には、LINEではアクセス権の設定が不適切だった結果、業務委託先の中国企業がLINEユーザーの個人情報にアクセスできる状態になっており、大きな問題になった。

＜関連記事：LINEの個人情報、中国の開発委託先から閲覧可能に　「説明不足だった」と謝罪＞

　「当たり前すぎて周知される機会が少ない気もしますが、一般論として、アクセス権の管理は“いろはのい”で、何回強調しても強調しすぎということはないです」（佐川さん）

　情報管理の基本方針は、アクセス許可の範囲を最小限にすることだ。本当に見る必要がある人だけに閲覧の権利を与える。これは不正アクセスによる情報漏えいの対策にもなる。

　攻撃者が社内システムに不正アクセスした際に、機密情報が誰でも見られる場所に置いてあると、簡単に盗まれてしまう。公開範囲を狭めることで、攻撃者に閲覧の権利を取得する手間が増え、漏えいリスクを下げられる。

従業員の監視は、疑うのではなく守るためにやること

　このように、情報漏えいと一口に言っても、そのルートはさまざま。そして、実際に何か起きてしまった際に行われるのが「フォレンジック調査」だ。

　フォレンジック調査は、端的に言えば鑑識のこと。事件当時のシステムはどういう状況にあったのか、関係者はどのような行動をとっていたのか、現場では何が起きていったのか──そういった事件の詳細を調べるのが目的だ。

　調査には「ログデータ」が必要になる。PCなどに保存された行動履歴を洗い出して調べる。しかし、中小企業の中にはログの取得を隠してしまう企業もあるという。

　「非常に小規模な企業では、従業員は身内だから疑うのはよくないという意識が働いて、（ログの取得を）やっていたとしても言わないということがありますが、それは違います」（佐川さん）

　鑑識をするうえで、証拠が出なければ疑いの晴らしようもなく、ずっと疑い続けないといけない。ログを取っていることを伝えることで、心理的な抑止効果も発揮するため、隠さず伝えるのがいいという。

　「従業員を疑っているのではなく、守るためにやっているんだということを経営者が伝えるのが重要です」（佐川さん）