信頼関係を築いてセキュリティ意識を高める
情報の価値はおいくら?
唐突ですが、みなさんは個人情報の漏えいによる1人あたりの平均想定損害賠償額をご存じでしょうか?日本ネットワークセキュリティ協会(JNSA)がまとめた「2008年度情報セキュリティインシデントに関する調査報告書」によると、4万3632円になるのだそうです。
情報漏えいの原因はさまざまですが、いざ漏えいしてしまった場合、何らかの形でペナルティを負うことになります。企業が持つ顧客情報には何らかの属性が必ずと言っていいほど存在しますので、漏えいする内容によっては、想定される損害賠償額が(4万3632円よりも)もっと高額になります。
これらの問題が起こる経緯としては、設定ミスや誤送信、誤廃棄といった過失によるものや、内部からの不正な取得や持ち出しといった故意によるものがあります。
過失によるものは、社員教育やツールによって防げることも多いですし、悪意がない場合がほとんどなので、正しい対策を行えば抑止が可能です。一方、故意の情報漏えいは、教育やツールだけで抑止することが難しい場合もあります。システム管理者が故意に情報を盗んだ場合はなおさらです。
さて、前回までは具体的な例を挙げてセキュリティ対策について説明してきました。外部からの攻撃から身を守るインバウンド・セキュリティと、外部への情報漏えいを防ぐアウトバウンド・セキュリティについて、ご理解いただけたかと思います。
今回は連載最終回ということで、内部犯行による情報漏えいに対するセキュリティ対策の効果と、仮想化やクラウドのセキュリティについて紹介しながら、現場でのセキュリティをまとめたいと思います。
では最初に、機械的な監視やアーカイブによる抑止効果と、そのことで考えられる問題についてお話したいと思います(図1)。
抑止効果は十分機能させるために
アーカイブを導入することで、つまり操作ログや履歴を保存して検索可能にすることで、2つの効果が期待できます。1つは、証拠を残すことで後から犯人を特定できること、もう1つはそのことによる犯罪の抑止効果です。
また、内部の不正を抑止するという意味では、まさにアーカイブは内部統制そのものです。メールやシステムのログの監視や保存をするツールが世の中にたくさん出てきたのも、このような背景があるからです。
しかし、これらのツールによる抑止力にも欠点があります。それは、ログが示す内容が常に正しいのかどうか分からないという点です。サーバーを自社で保持している場合、メールやログはテキスト・ファイルなので、エディターによる書き換えが容易です。また、最悪の場合、ファイルを削除することも可能です。
こうした、文書の改ざんや削除への対策としては、例えばe-文書法などでも注目を浴びている時刻認証サービスがあります。
注目すべきなのは、故意に行われた情報漏えい事件の“動機”です。個人情報保護法が施行されてから個人情報の重要性が認識されてきた半面、それらを売買するブローカーも増えました。
個人情報がネットを介して簡単に売買できるようになったとき、金銭的な問題や現状への不満を抱えた社員が情報漏えい事件を起こす確率は高くなるのではないでしょうか?ツールやシステムによる抑止効果も重要ですが、よりお互いをよく知り、コミュニケーションを取り合えるような関係を築くことも、もっと重要だと考えます。
ツールの導入に際しては、特にアーカイブやWebカメラなどの場合は、労使双方が納得のうえで導入することが必要です。一方的に導入することはプライバシー保護の観点からも問題があります。納得したうえで導入されなければ、不信感が生まれ、不正行為が行われる動機を生み出す可能性も考えられます。
結局、プライバシー情報などのセンシティブな情報を保存したり監査する場合は、たとえ企業であっても、プライバシーに配慮して十分な説明を行ったうえで実施した方が、より効果的なのではないでしょうか。
次ページからは、仮想サーバー環境を対象としたセキュリティ対策などを紹介します。