情報漏えいの原因・対策に潜む課題

正しい情報漏えい対策の最初のステップ

情報漏えい事故を起こした企業が、謝罪会見で「きちんとセキュリティ対策を実施していた、従業員へのセキュリティ教育も実施していたのに、事故が起きてしまった」と説明していることがある。果たして本当に、実効的な対策を行っていたのだろうか。

例えば、セキュリティ教育を実施したら、それが従業員にどの程度浸透し、情報セキュリティ管理の状況がどのように向上したのかを確認しなければ、実効的な対策を実施しているとはいえない。対策を実施した結果を評価せずに「できているはず」と思いこむことは、情報漏えいに限らず、ウイルス感染などを含めたさまざまな情報セキュリティ事故の典型的かつ根本的な要因である。

「～はず」という思い込みや推測を排除するためには、情報セキュリティ管理の現状をありのままに把握する必要がある。そして、現状を把握するためには積極的に「情報セキュリティ監査」を実施するのがよい。「監査」という言葉からは堅苦しいイメージを受けるかもしれないが、あまり仰々しく考える必要はない。一種の健康診断だととらえて気軽に、頻繁（ひんぱん）に実施するのがよい。

監査を実施する手法はさまざまだが、正確な情報を把握するためには、できるだけ監査ツールの手を借りた技術的手法（ストレージやネットワークのスキャンなど）を採用するのが望ましい。技術的な監査手法を用いれば、従業員へのインタビューやアンケート調査などの手法よりも正確に、情報漏えいのリスクを「可視化」できる。

適切な監査を実施し、客観的なデータに基付いて現状を可視化すれば、情報セキュリティ・ポリシーと機密情報などの実際の管理状況とのギャップが明らかになる。ポリシーで設計した対策の効果が上がっているかどうか、ポリシーやその運用に改善すべき点があるかどうか、などを判断することができるようになる。これによって初めて、情報セキュリティ・マネジメントのPDCAサイクルを「回す」ことができるのである。

情報漏えい対策に求められる「情報」の「可視化」

情報漏えい防止のために実施すべき「可視化」とは、どのようなものだろうか。

ソフトウエア・パッチの適用状況や既知の脆弱（ぜいじゃく）性など、情報システムの管理状況を把握するためにツールを使ってシステムやネットワークをスキャンする方法は、一般的に行われている。これにより、パッチの適用漏れや脆弱（ぜいじゃく）性の対応漏れなどを発見することができ、セキュリティを強化することができる。

これに対して、「情報」の保管や利用の状況については、ツールでスキャンするという方法はあまり行われず、システムの利用者に対するインタビューやアンケート調査によって確認するのが一般的だった。しかし、インタビューやアンケートの結果は信頼性が十分でない場合が多い。情報の管理状況を正確に把握できなければ、情報漏えいのリスクに的確に対処することはできない。

情報漏えいを防止したいセキュリティ管理者は、保護すべき機密情報の所在やその内容を、利用者の主観によらない方法で精密に把握したいと強く望んでいる。従来は、このような目的に利用できるツールは存在しなかった。しかし現在では、DLP（Data Loss Prevention）と呼ばれるテクノロジを活用することで、それを実現することができるようになっている。

DLPとは、集中化された管理フレームワークのもとで、利用中の情報（クライアントPC上）、移送中の情報（ネットワーク上）、保管中の情報（ストレージ上）それぞれについて、コンテンツを細部まで検査して機密情報の所在を発見し、その利用状況を監視し、そして情報漏えいにつながりかねない事態の発生を自動的にブロックするテクノロジーである。

次回は、情報を可視化し、効果的な情報漏えい防止対策を実現するDLPテクノロジーについて、その技術的な概要を紹介する。

【参考文献】
[1] Verison Business『2009 Data Breach Investigations Report』2009年6月
[2] Ponemon Institute『2008 Annual Study: Cost of a Data Breach』2009年2月
[3] Open Security Foundation「Data Loss DB」