特別企画

情報漏えいで慌てないための多層防御策(1)~情報取り扱いのジレンマとは

 はじめまして。アルプス システム インテグレーション株式会社で、情報漏えい対策ソリューション「InterSafe ILP」の開発を担当している和田と申します。情報セキュリティの重要性が叫ばれるようになって久しく経ちますが、未だに情報漏えい事件は後を絶つことがありません。今夏にも、大手企業から大量の個人情報が流出した事件が報道され、大きな話題になりました。そこで、今回から全5回にわたって、企業における情報漏えい対策の現状と課題、そして課題解決に向けた具体的なソリューションをご紹介したいと思います。

 さて、今夏に発生した大量の個人情報漏えい事件は、私たちセキュリティ関連企業にとっても、改めて企業の情報漏えい対策の現実を突きつけられるものでした。ここ数年、やや景気が上向くなか、企業の情報化投資意欲も高まってきていますが、セキュリティにかける予算はまだまだ少なく、投資の優先順位も低いというのが実状なのです。

 しかし、今回の個人情報漏えい事件をきっかけに、企業のセキュリティに対する意識が大きく変わってきたように感じます。事件以来、当社の情報漏えい対策ソリューションへの問い合わせが急増しているのです。当社製品の既存ユーザーからの、セキュリティをもっと強化したいというニーズのほか、新規ユーザーからも多くの問い合わせをいただいています。この背景には、今回の情報漏えい事件の損害額や社会的な影響力の大きさを目の当たりにして、上層部からシステム管理者に、セキュリティの見直しや現状確認の指示が出ているものと思われます。

 一方で、多くの企業は、すでに多層的なセキュリティ対策を導入済みであるという現実もあります。当社の実施した「第11回 組織でのインターネット利用実態調査」によれば、法人の情報システム担当者を対象に、どのような情報漏えい対策を導入しているかを聞いたところ、「セキュリティポリシーの策定・運用」が79.0%、「利用ルールの策定・運用」が75.3%を占めたほか、「メールフィルタリング製品」(68.7%)、「デバイスの利用制限製品」(67.8%)、「ファイルの暗号化製品」(67.4%)など、基本ルールの運用に加えてシステム面での対策など多層的な防御態勢をとっている企業が多いことがわかりました。その上で、当社への問い合わせが増えていることを考えると、いかに今回の情報漏えい事件のインパクトが大きかったかが伺えます。

情報資産管理に厳しい法人は多層的な対策を導入

 セキュリティ製品の導入にあたって課題となっているのが、その業務に与える影響です。セキュリティ製品を導入することは、一般ユーザーにとっては、操作性が遅くなったり、余計な作業が増えたりと、業務効率を低下させるやっかいなものと捉えられがち。これには、頭を悩ませているシステム管理者も多いのではないでしょうか。セキュリティ製品を選定する際には、価格や機能だけで判断するのではなく、簡単で使いやすく、業務の邪魔にならないことを重視する必要があるといえるでしょう。

 しかし、どれほど強固な情報漏えい対策をしても、企業にとって情報活用は不可欠であり、情報漏えいに厳格な企業ほど情報を持ち出さねばならないというジレンマも抱えています。当社の実施した上記の調査でも、6割以上の企業が、「社内体制やルールに関する情報」、「人事に関する情報」、「経営や財務に関する情報」など、社内情報にも社外持ち出しへのポリシーやルールを策定していることが明らかになりました。あらゆる社内情報は、社外に持ち出される可能性があるということを前提にして、情報漏えい対策の導入を検討していくことも忘れてはなりません。

6割以上が人事・財務などの情報にもポリシーを策定

 こうした企業の情報活用と情報漏えい対策の現状を踏まえて、今回起こった個人情報漏えい事件は、「スマートフォンを媒介として情報が持ち出された」ことと、「情報システムに関わる担当者が持ち出した」ことの2つの側面から考える必要があります。今回の事件が注目を集めたのは、スマートフォンから情報が漏えいしたことですが、これはあくまで、複数ある情報漏えい経路の一つにすぎません。被害を受けた企業も多層的なセキュリティ対策を導入していたはずなので、スマートフォン以外からも情報が漏えいしていた可能性も否定できません。やはり、今回の事件で最も恐いのは、内部の情報システム担当者が悪意をもって持ち出しているという事実です。情報システム担当者であれば、セキュリティ製品の特徴や解除方法、抜け穴もわかっているのは当然です。スマートフォンでなくても、情報を持ち出せた可能性は大いにあります。

 では、社内情報が社外に持ち出されることを前提にして、かつ業務効率を落とさずに、情報漏えい対策を行うためにはどうすればよいのでしょうか。第2回では、具体的なソリューションを紹介しながら、この解決策を探ります。

和田秀之

アルプスシステムインテグレーション株式会社
セキュリティ事業部 ILPソリューション部
ILP製品技術課 プロダクトマネージャー