意図的な情報漏えいへの対策：PC Online

本文へジャンプ

日経パソコン

目次

2009年6月30日　page:1/2

意図的な情報漏えいへの対策

三輪信雄＝Ｓ＆Ｊコンサルティング代表取締役

Tweet

（執筆時の情報に基づいており、現在では異なる場合があります）

　情報漏えい対策のためにはこれまで多くのソリューションが提案されてきました。例えば、以下のようなものが代表的でしょう。

Webサーバなどのサーバへのハッカーからの攻撃から守る
個々のパソコンがウイルスに感染しないための対策
USBメモリーなどの外部記憶媒体を使えなくする
外部記憶媒体の暗号化
ファイルが送信できるサイトの閲覧制限
シンクライアントや擬似シンクライアント

　さらに、ログという観点からは、以下のような対策も有効とされています。

ファイルへのアクセスの記録
外部サイトへのアクセスの記録

　その他にも新しい技術としては、機密情報が含まれるファイルを組織内のあらゆる場所で管理するために、ファイルのハッシュ値（ファイルを一意に特定できる情報）を取ったり、単語の出現順序や頻度などを監視したりするようなシステムも実用化のレベルになってきたようです。

　これらのシステムは、他社で起きた事件、自社で起きた事件、認証取得のため、などのその時々のニーズで導入が進められてきました。

　さて、情報漏えい対策を起こすヒトについて考えてみましょう。

うっかり外部記憶媒体やノートPCを紛失する
ルールを知っていながら意図的に善意で持ち出して業務を遂行しようとする
外部への漏洩を意図した悪意を持つ

　これらのうちで、悪意の情報漏えいについては、「考えたくない」「本気の情報漏えいは防げないよね」などの考えから本格的には取り組まれないできました。一部、コールセンターなどの限定された場所では「アクセスを必要最小限以外は禁止する」「全てのアクセスや操作を記録する」などの要塞化が行われています。

　しかし、現実にはシステム管理者やシステム管理者に指示できる組織の管理職、バックアップを担当するオペレータなどが「本気」になれば、情報漏えいは大規模かつ発覚せずに実行されてしまう可能性を秘めています。

　今回、組織内の悪意の管理職が情報漏えいを起こした証券会社に対する業務改善命令が出されました。しかし、悪意を持った情報漏洩への対策には非常に高いレベルの情報セキュリティのスキルが要求されます。なぜ非常に高いレベルのスキルが必要なのか、というと、「仕事ができなくなってはいけない」「コストには限りがある」からです。

やはり経営センスが必要：次ページへ