PR

ルールによる運用は破たんする

2009年11月5日(木)
ハミングヘッズ 編集記者チーム

意味のない情報セキュリティがはびこっている!

 これから1カ月間お付き合いいただきます、情報漏えい対策のソフトウエア・ベンダー「ハミングヘッズ」です。当社は、ソフトウエアを開発している当事者としての顔に加えて、関連セミナーの取材や識者へのインタビューなどを記事化してWebに掲載するメディアの顔を持っています。こうした取材の過程で得た情報などを加味して、情報漏えい対策や内部統制の実践的なノウハウをお話しできればと思います。

 今回の連載(全4回)では、ユーザー企業が情報漏えい対策や内部統制を正しく実施して、さらに業務改善へとつなげていくための有効な手段として、自動暗号化やログ活用のノウハウを解説します。第1回では、情報セキュリティの観点からセキュリティ対策を自動化する必然性について、事例を交えて説明します。

 まず、間違ったセキュリティ運用をしているA社の事例を紹介します。このA社は情報漏えい対策として「ファイルを持ち出す際には、必ず暗号化しなければならない」という規則を定めて運用しています。このためのツールとして、とある有名な情報漏えい対策ソフトを導入しています。

 しかし、開発中のソフトウエアのソースコードが外部に流出する事件が発生。直ちに社内で調査チームを組み、原因を追及するために社員の操作履歴を解析したところ、1カ月あたり数万件のファイルが平文(暗号化されていないままのファイル)で外部に持ち出されていました。

 データを平文で外部に持ち出している社員に聞き込みを行ったところ、「顧客を待たせており、刻一刻を争っている事態なので暗号化などしている時間はない」「急いでいて、うっかりしていた」という回答でした。

 別の例では、USBメモリやDVDを始めとするあらゆる外部接続のストレージにデータをコピーすることをシステムで禁止しているB社があります。B社もA社と同様に、社外秘の営業プランが流出し、このことが原因で競合会社に先を越されてしまいました。

 情報システム部が履歴を調査したところ、システムは正常稼働しており、USBメモリ、DVD、CD、外付けHDDなどの外部媒体へのデータの移行はすべて禁止されていました。疑問に感じたシステム部がさらに詳細に履歴を調査した結果、営業部の社員がメールの添付ファイルとしてウイルスに感染している自宅PCへデータを送信したことが原因でした。

警備の世界ではよく見られる光景

 ここで少し視点を変えて、物理的な「セキュリティ」つまり「警備」を考えてみます。人通りが限られるところ(重要人物の家や公邸など)ならばいざ知らず、往来が激しい場面では、人による警備だけでは限界があることはご理解いただけると思います。

 多くの人間が出入りする場所で採用されているのは、「システムによる入場制限」(オートロックや指紋認証など)で関係者以外を入場させないようにして、「監視カメラ」で万が一事件が起こった場合の証拠を残しておき、「管理人」がシステムの稼働を確認して何らかの異常があった時に対処する、という方法です。

 例えば空港でも、すべての搭乗者に対して職員がじかにボディー・チェックを行うことはありません。金属探知器を通し、システム的にエラーが生じたときのみ確認するという方法でなければ対処しきれないからです。仮に金属探知機を使わず、人手のみですべての人間に対して危険物の有無を検査するとしたら、作業量・精度ともに、比較にならないほど落ちてしまうでしょう。

 このように、現実世界の物理的なセキュリティでは、システムに頼ることが当たり前となっています。かたちは違いますが、PC上のデータに対するセキュリティに対しても同じ体制を敷くことが大切です。データの出入確認(指紋認証や金属探知機)、操作履歴の取得(監視カメラ)、会社の情報システム担当者(管理人)でセキュリティを守るのが理想的でしょう。

 次ページからは、セキュリティ対策を自動化する際の心構えについて解説します。

著者
ハミングヘッズ 編集記者チーム
ハミングヘッズ株式会社
2008年3月、ハミングヘッズホームページ上にコラムを執筆開始。以降、徐々に人数を増やしつつ、現在、総勢7人。全員が前職で様々な業界の記者や編集を経験している、個性あふれるエディター集団。CANONのEOS 5Dを手に、IT関連のイベント・シンポジウムに出没する。

Think IT会員サービス無料登録受付中

Think ITでは、より付加価値の高いコンテンツを会員サービスとして提供しています。会員登録を済ませてThink ITのWebサイトにログインすることでさまざまな限定特典を入手できるようになります。

Think IT会員サービスの概要とメリットをチェック

他にもこの記事が読まれています