- 目次 -
改めて「情報漏えい」とは
説明するまでもあり ませんが、「情報漏えい」とは、意図せずして内部情報が外部に漏れることで、企業の情報セキュリティにおいて大きな脅 威のひとつです。個人情報が大量に流出すれば信頼を一気に失う可能性も高いですし、機密情報が漏れれば競争に敗れる可能性も高くなります。
これについては、どんな企業でも何らかの対策を取っていると思います。しかし、それで本当にコントロールできているでしょうか? 実際のところ、意外な部 分でコントロールが漏れていたりすることもあるのです。情報セキュリティというのは、最高の対策を取っていたとしても、ひとつ弱いところがあればそこから 崩れていきます。
情報セキュリティと言ってしまうと少々範囲が広いので、今回は「情報漏えい」に絞って考えることにしま しょう。「情報漏えい」を防止するための王道事例というのは残念ながらありません。なぜなら、環境はつねに変化するからです。
代表的な漏えい経路とは?
そのなかでよい対策を立てるには、ま ず漏えい経路を具体的に知って、何がどのように漏れるのかを理解することが大事です。実は漏えい事例を調べると、漏えい経路として特徴 的なパターンは結構限られていることがわかります。
その分類を、以下に列挙してみたいと思います。
・ 電子メール
スパムメール内のリンクを思わずクリックしたらスパイウェアに感染してしまった、などというケースです。最 近のウイルスは、ほとんど電子メール経由でやってきます。
ウイルスだけではありません。メールを誤って関係 者でない人に送ってしまった場合も、顧客への同報メールを送付する際にアドレスをBCCではなくToに入れてしまった場合も、情報漏えいになってしまいま す。
電子メールに関連するケースは多くの場合ソフトで防ぐことができますが、合わせて電子メールの利用ルールを決めたり、業務外 利用はいけないことを啓蒙したりするなど、職員の利用意識の向上を図ることも重要です。
・インターネット
Webサーバの脆弱性を放っておいたら外部から攻撃されて内部情報を持ち出されてしまったり、サーバの設定ミスで内部情報が外部に公開されてしまった、と いうケースです。
攻撃に対する防御策も大事ですが、設定ミスはいけません。サーバにしてもPCにしても標準設定を決めておかない と、モノによって設定が異なり、設定を忘れるものが出てくる恐れがあります。
・電子記録媒体
最近はノートPC、CD-RW、携帯電話、USBメモリなどなど、持ち運びやすい装置がたくさんあります。
とても便利ですが、持ち運びやすいということは「盗まれやす い」「忘れやすい」ということです。情報漏えいの3大原因は「盗難・紛失・置き忘れ」であり、実はウイルスや不正アク セスではないのです。Winnyによる情報漏えいが話題になりましたが、これも社員が社外に情報を持ち出したから発生した事例と言えます。
対策として一番よいのは「一切使わない」ことです。企業によっては外部記録媒体へのコピーをシステムで禁止しています。ただし業務の性格による部分もあり ますので、社内で検討が必要でしょう。もし使う場合は内部犯行のリスクもありますから、社内規定とアクセス管理を充実させることも重要です。
・ 紙媒体
意外に対策を忘れがちなのが、「紙」です。実は、発生件数断トツトップの漏えい経路が「紙」な のです。
使用量を減らすことに取り組む必要はありますが、ゼロにするのは困難でしょう。そこで、効果的な取り組みのひとつとして 「クリアデスク」があります。これは、帰宅する時に机のものを必ず全部ロッカーなどに片付け、机に何もない状態にするという取り組みです。毎日一度は目の 前から紙がなくなるので、効果があります。
効果的な対策の考えかた
このように、漏えい経路は意外に限られています。しかし対策を取るとなると、一度に全部行うのはなかなか難しいことです。
効果的な対策を立てるには、まず対処の優先度を設定します。優先度の決め手となるのは、「重要な情報 は何か」「一番危ないと思われるリスクは何か」を考えることです。ここで、最重要な情報はトップマネジメントが決めなくてはなりませ ん。なぜなら、各部署にとっての重要情報はそれぞれ異なり、そのレベルで話をすると収拾がつかないからです。
そしてもうひとつ、必 ず「事後策」を考えてください。大抵の企業は予防策には熱心ですが、万一漏れてしまった時の対策が手ぬるいのです。情報セキュリティ対 策に100%はありません。難しいですが、つねに対策を更新しながら緊急対応も万全にすることが、重要なことなのです。