• ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • 日経BP
日経ビジネスONLINE Special 週刊日経ビジネスオンライン SPECIAL日経ビジネスオンライン

情報漏えいに論理と知恵、技術で立ち向かう

■ PwCあらた、デジタルアーツ
内部不正による情報漏えいに
論理と知恵、技術で立ち向かう

情報漏えいが起きる要因の多くは、内部関係者による不正である。「社員を疑いたくない」という経営者の気持ちは分かるが、もはや性善説では対処することはできない。情報セキュリティー対策に責任を負うリーダーが求められるとともに、実効性のある情報管理体制を構築する必要がある。それとともに、テクノロジーを使った防御策も重要だ。増大する脅威に向き合うには、これら総合的な対策が求められる。

PwCあらた
システム・プロセス・アシュアランス部
パートナー/公認情報システム監査人(CISA)
綾部 泰二氏

 情報漏えいなどセキュリティーインシデントの発生が後を絶たない。監査法人のPwCあらたの調査によると、2015年に起きたインシデントの要因の大多数が従業員や退職者、委託業者などの内部関係者によるものだ。内部の脅威にいかに備えるか――。同監査法人の綾部泰二氏は「いまや性善説は通用しません」と強調する。

 ここ数年だけを見ても、様々なタイプの内部不正による情報漏えいがあった。ある程度の対策を実行する途上で、対策が不十分であったために情報流出を防ぎきれなかったケースも多い。「怖いのは、『やったつもり』になること。どのような企業でも完全な対策はありえません。やったつもりになってないか、いま一度セキュリティー対策の現状を見直していただきたい」と綾部氏は注意を喚起する。

 ある企業では、再々委託先のビジネスパートナーである個人が、特権IDを利用し、何度も繰り返して自分の口座に多額の不正送金を行っていた。発覚後、周囲からは「まさか、あの人が」という声が上がったという。この企業ではセキュリティー対策の強化を進めている最中だったが、このインシデントについては間に合わなかったようだ。

また、業績の悪化したあるメーカーではセキュリティー対策が後手に回り、もっぱら教育で対処してきたという。業績低迷によるモチーベーション低下もあってか、小遣い稼ぎの感覚で図面などの情報をライバルメーカーに売り渡す社員が散見されたという。

漏えいリスクの設定、アクセス可能者の特定、ゾーニングという3つのポイント

 こうした事態を防ぎ、確かなセキュリティー対策を講じる上で、綾部氏は「リーダーの存在が重要」と指摘する。日本ではCISO(最高情報セキュリティ責任者)を任命する企業は少ない。CIO(最高情報責任者)や情報システム部長との兼任ではなく、権限と予算を持つ情報セキュリティーのリーダーを置くことが望ましい。

 加えて、実効性のある情報管理体制を構築する必要がある。綾部氏は「『漏えいリスクの設定』と『アクセス可能者の特定』、そして『ゾーニング』という3つがポイントです」と指摘する。

 「漏えいリスクの設定」に際しては、リアリティーを大切にしたい。例えば、「内部者による不正な持ち出し」というリスクを設定した場合、どのような持ち出しなのか明確ではない。そうではなく、「競合他社への情報提供」というように、具体的なリスクを設定することでリアリティーが増す。「競合他社に接する機会が多いのは誰か、その社員のアクセス権限はどうあるべきか」という形で、その後の具体的な対策を導きやすくなる。

流出した情報を追跡し、消去することも可能

 アクセス可能者の特定については、「ユーザー部門だけでなく、IT部門や業務委託先を含めて漏れなくリストアップすることが重要」と綾部氏。電子的なデータだけでなく、紙情報を含めて誰がアクセス可能かを洗い出す。特に、ポケットに入れれば外部からは見えない紙情報は、管理が非常に難しい。注意すべき点だ。

 ゾーニングの基本的な考え方は、情報資産としての重要性と対策レベルを連動させること。すべての情報を厳しく管理すれば業務の不便さが増し、コストがかかるだけでなく、社員の理解を得られなくなる可能性がある。「費用対効果を考えた上で、物理的・論理的なアクセスコントロールをいかにデザインするかが問われています」と綾部氏はいう(図1)。

図1 管理体制構築のポイント  ~ 対策の検討 ~
図1 管理体制構築のポイント  ~ 対策の検討 ~
ゾーニングしていくうえで、物理/論理アクセスコントロールの厳格さのバランスをいかに構築するかがポイント。精緻に構築できれば、漏えい事案が発生したときに、ログから犯人を特定しやすくなる。    (PwCあらた作成)
[画像のクリックで拡大表示]

 情報持ち出しの手段は紙への印刷、メールや電子媒体など様々。それぞれについて、手段を排除するための対策をデザインする必要がある。ただし、厳しい排除手段を設定したとしても、リスクをゼロにすることはできない。それを前提に、対策の全体像を考えなければならない。

デジタルアーツ
エンタープライズ・プロダクト・マーケティング部
担当部長
龍野 智幸氏

 以上のスピーチを受けて次に登壇したのが、情報セキュリティーメーカーであるデジタルアーツの龍野智幸氏である。龍野氏が説明したのは、情報漏えいリスクに対するテクノロジー観点での対策である。

「綾部さんから、情報は漏えいするという前提で対策を考えるべきというご指摘がありました。では、情報が持ち出された場合にはどうすればいいのか。実は、重要情報が流出したとしても、それを追跡する、あるいは事後的に消去する技術があります」

 この手法はIRM(Information Rights Management)と呼ばれ、デジタルアーツはクラウド型のIRM市場で高い市場シェアを持つ「FinalCode」を提供している。

 例えば、悪意のある内部関係者が重要ファイルの内容をメール本文に貼り付けて送信するとしよう。FinalCodeの設定により、コピー&ペーストをできなくしたり、スクリーンキャプチャーをブロックしたりできる。流出した情報については、詳細に記録されたアクセスログを基に追跡し、ファイルの所有者や管理者に対して検知した不正アクセスを自動通知する。また、流出した情報を自動的に消去する機能も備えている。

 紙に印刷して持ち出す、あるいはPC画面の写真を撮影するといった不正な手段への対策も用意されている。印刷や撮影のときに、透かしを入れる機能だ。龍野氏は「誰がいつ、その文書を使っていたのかが、この透かしによって表示されます。不正に対する抑止力として有効です」という。

 FinalCodeはクラウドサービスなので導入がとても簡単。「まずは重要情報に絞った形で、スモールスタートすることができます」と龍野氏。ゾーニングされた重要情報の不正持ち出し対策がわずか数日で実現できるのだ。

図2 「FinalCode」の機能一覧
図2 「FinalCode」の機能一覧
情報が漏えいしても強力かつ柔軟なIRM(Information Rights Management)機能があり大丈夫だ。            (デジタルアーツ作成)
[画像のクリックで拡大表示]
お問い合わせ