利便性とセキュリティのはざまで苦しむ現場特集:セキュアなドキュメント流通を目指して(1)

企業の情報漏えい対策は進むものの、情報漏えい事件は後を絶たない。また、対策を急ぐあまり現場の利便性や効率性が低下し、それを嫌がったユーザーが正しく運用せず、対策の意味が薄れてきているケースもある。では、どうやってセキュリティと効率のバランスを取ればよいのか。本特集ではその点について、リスク分析やポリシー設定、ツールの導入までを考えていく。

» 2009年11月24日 12時00分 公開
[大津心,@IT情報マネジメント編集部]

保護法施行から4年半、情報漏えい対策は進んでいるのか

 ここ数年の間、多くの企業は“情報漏えい”にかなりセンシティブになっている。その背景には、最近でもアリコ、三菱UFJ証券など、毎週のように大企業における情報漏えい事件が起きてメディアを騒がし、他人事ではなくなってきたことも、経営者の危機感をあおる要因となっているだろう。

 日本ネットワークセキュリティ協会(JNSA)が2009年11月に発表した調査結果によると、情報漏えい事故の原因は「誤操作」が35.2%で1番多い。続いて「管理ミス」が22.2%、「紛失・置き忘れ」が14.1%、「盗難」が11.2%、「不正な情報持ち出し」が5.8%だ。最大の原因である誤操作の内訳を見ると、「紙媒体の誤操作」「電子メールの誤送信」「FAXによる誤送信」の順で多く、現場の“ドキュメントの取り扱いミス”による漏えい事故が多いことが分かる。

 このようなミスを防ぐために、さまざまな現場教育が行われているが、教育だけでなくツールを導入して、ミスを未然に防ぐための“予防的な対策”が数多く行われている。

 一方、予防的な情報漏えい対策を実施することで、業務効率や生産性の低下を懸念する企業も多い。「せっかく、ITによって生産性が上がり、ドキュメントや情報伝達の高速化が図れたにもかかわらず、そのメリットを低下させてはIT導入の意味がない」という声もある。このような理由から、「あえて、予防的対策を取らない企業」「情報漏えい対策製品を導入したものの、現場で普及しない」といったケースも出てきている。

 つまり、セキュリティと業務の効率性を、自社の状況に見合ったバランスにすることが非常に重要なのだ。そのためには、自社のリスクを分析して、それに見合ったセキュリティポリシーを策定し、必要に応じてそのポリシーを実施するための対策を行う、といった施策が必要だ。本特集では、「現場業務の効率と情報漏えい対策のバランスを、どう取っていくか?」について考えていく。

予防と事後の対策が重要なポイントに

 情報漏えい対策を考える際に基本となるアプローチが大きく分けて2つある。「予防的統制」と「発見的統制」だ。予防的統制とは、「そもそも、情報漏えいを発生させない」ために予防的な対策を行う統制方法。発見的統制は、「万が一、情報漏えい事件が発生してしまった際に、どのように対応するか」という事後対応に重きを置いた統制方法だ。

 一般的に、予防的統制は各PCの管理・監視ソリューション、入退室管理ソリューション、外部ドライブ管理ツール、ドキュメント管理ツールなど、数多くのソリューションが各ベンダより提供されている。発見的統制では、万が一不正や情報漏えいが発生した際に、事後に「誰がいつどこで漏えいさせたのか」を調査する必要があるため、主にログ管理ツールがその役割を担う。

 予防的統制には「統制=コントロール」や「抑止力」として効果があり、発見的統制には「証拠」としての役割が期待されている。

ALT 予防的統制と発見的統制の役割

 例えば、予防的統制としてクライアントPCに管理・監視ソフトを導入すれば、社員がWinnyなどのリスクの高いソフトウェアを勝手にインストールして情報漏えい事故やウイルス感染するリスクを回避できる。また、発見的統制として、ログをきちんと管理していれば、もし不正な情報漏えいが起きた場合でも、事後にログをトレースすることで被疑者の特定が可能になる。これは、「会社ぐるみではない」「身の潔白」を証明するために重要だ。

 これらの点を踏まえ、情報漏えいを起こさないためには、予防的統制をしっかりと行うのが理想だ。しかし、“理想の予防的統制”を実現するためには、「あれもこれも対策をしなければ」となり、莫大なコストがかかる。

 企業経営者は、当然「100%情報漏えいが起きない対策」を目指す。しかし、そのためには多大なコストと労力が必要であるため、投資対効果を考慮しなければならない。そして、予防的統制と発見的統制のバランスを取り、自社の現状に見合った情報漏えいポリシーを策定し、対策を実施する必要がある。

まずはきちんとリスク分析をしよう

 前項で「自社の現状に見合った情報漏えいポリシーを策定する必要がある」と述べたが、ポリシーを策定する前にまず実施しなければならないのが、自社の現状を把握するための「リスク分析」だ。

 リスク分析とは、社内のあらゆる活動を洗い出し、そのリスク因子に対して発生確率や影響度合いなどを勘案し、リスクの大きさを算出することだ。ETAFTA(イベントツリー/フォールトツリー)、FMEA(Failure Mode and Effect Analysis)など、さまざまな分析方法が存在する。日本版SOX法に対応した上場企業であれば、その際に「リスク・コントロールマトリクス」を作成したはずなので、それを基に情報漏えいリスクを分析することも可能だろう。

 リスク分析を行う際の手順は、まず第1に「リスク因子の存在を確認し、特定する」、そして2番目に「そのリスク因子がどの程度の頻度で発生するかを分析する」、そして、最後に「そのリスク因子でどの程度の損失が発生するのかを分析する」という3段階で実施するのが一般的だ。

 例えば、「営業部員がノートPCを持ち出している場合」であれば、「ノートPCを紛失する」「電車内などで、PCを利用している際にデータをのぞき見される」「得意先に社外秘のデータを見せてしまう」「外出中にウイルスに感染して社内に持ち込む」などなど、さまざまなリスクが想定される。そのリスク1つ1つに対して、上記の3項目を順番にチェックし、リスク分析を行うことが重要だ。

 そして、リスク分析を行った結果、そのリスクに応じた対策を検討するべきである。次回はリスクに応じたセキュリティポリシーの策定に関して考えていく。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ