情報漏えいの原因・対策に潜む課題

情報漏えいが発生する背景

最近、毎日のように情報漏えい事故のニュースを目にする。これは日本国内に限らず全世界的に共通の傾向である。米Verizon Communicationsの一部門であるVerizon Businessの調査（参考文献[1]）によれば、2008年に漏えいした個人情報の総数は2億8500万件であり、それ以前の4年間の合計を上回っている。

企業は、いったん事故が発生してしまうと、経営上相当の打撃を覚悟しなければならない。米Ponemon Instituteの調査（参考文献[2]）によれば、情報漏えい事故が発生した場合に企業が負担しなければならない対応費用は、漏えいした情報1件あたり200米ドル以上である。

情報漏えい事故は増え続ける一方だが、それを意外だと感じる人は多くないのではないだろうか。何故なら、今日、個人情報などの機密情報を取り扱う環境は、物理的にも論理的にも広く分散化されているからだ。どの企業でも、インターネット上の電子メールやWeb、場合によってはインスタント・メッセンジャーやTwitterなどを活用して、ビジネス活動を行っている。

ビジネスの現場では、ノートPCを持ち運びながら、誰もが会社の代表として機密情報を取り扱い、インターネットを介して顧客や取引先と情報の交換を行っている。さらに、企業にとって主力でない業務はアウトソースされることも多く、大量の機密情報が社外の（時には、国外の）情報処理業者に保管されている。

このような状況の下で、セキュリティ管理者は、どうやれば情報漏えい事故を防止できるのか頭を悩ませている。情報セキュリティとはそもそも、「情報」という形のない対象を保護しようという取り組みであり、単純な課題ではない。それに加えて、現在では「情報」は分散化したビジネス環境のありとあらゆるところに散在しているから、問題の複雑さが倍加している。

効果的な情報漏えい対策とはどうあるべきだろうか。対策を検討するには、情報漏えいが発生するメカニズムを知る必要がある。

情報漏えいの発生原因

前掲のVerison Businessの調査や、米国の非営利団体であるOpen Security Foundationの資料（参考文献[3]）によれば、情報漏えいの根本的な発生原因は、大きく3つに分類できる（図1）。（1）「内部者による不注意」、（2）「内部者による不正行為」、そして特定の企業・組織を対象とした外部からの（3）「ターゲット攻撃」である。いずれか1つが原因のこともあるが、多くの場合は複数の原因が組み合わさり事故に結びついている。

（1）「内部者による不注意」の例としては、機密情報を格納したUSBメモリやノートPCなどの紛失・盗難や、外部に公開するサーバーのセキュリティ設定のミス、あるいは、自宅に仕事を持ち帰った従業員の自宅のPCからコンピューター・ウイルスにより情報が流出するケースなどが挙げられる。

（2）「内部者による不正行為」の例としては、機密情報にアクセス権限を持つ従業員が顧客情報を不正に持ち出し転売する、といったケースがある。

（3）「外部からのターゲット攻撃」とは、インターネットを介して特定の企業を標的とした攻撃を行うことを指す。外部に公開されたWebサイトの技術的脆弱（ぜいじゃく）性を悪用するなど、巧妙な手段でターゲット企業の社内にコンピューター・ウイルスを送り込み、企業内の機密情報を盗み出す、といったケースが挙げられる。

一般の新聞やテレビなどにニュースとして取り上げられる情報漏えい事故は、その話題性のためか、多くが（2）「内部者による不正行為」によるものであるため、我々はつい、不正行為による情報漏えい事故を防ぐことが最重要課題であるかのように考えてしまいがちである。

しかし、客観的なデータに基付けば、それは正しくないということが分かる。米Ponemon Instituteの調査によれば、不注意・過失により発生した情報漏えい事故が、全体の88％以上に達しているという。情報漏えい事故を効率よく防止するには、不注意や過失を防ぐための「基本的な」情報セキュリティ対策を「確実に」適用することこそが重要なのだといえる。

次ページからは、情報漏えい事故を引き起こす原因を解き明かすとともに、実施すべき対策について解説していく。