企業の情報セキュリティ・マネジメントとDLPテクノロジー

企業の情報セキュリティを構成するコントロールの設計

情報漏えい対策などのセキュリティ対策を実施するうえでは、全社的なバランスが重要になる。しかし、現場のセキュリティ管理者として日々の対策実施に追われていると、全体を俯瞰（ふかん）する視点を忘れてしまうこともある。そこで、企業の情報セキュリティ・システム全体をデザインする際の基本的な考え方を、改めて確認しておく。

企業の情報セキュリティを構成するセキュリティ・コントロール（セキュリティ管理策）は、「セキュリティ事故の発生予防を目的とするもの」、「事故の発生する瞬間をリアルタイムに検出して阻止することを目的とするもの」、「不幸にして事故が発生してしまった場合の事後対応を目的とするもの」、などに分類できる（図2-1）。

企業の情報セキュリティをデザインする際には、それぞれのコントロールの意味を考慮しながら、全体として最適な効果が出るよう、多層的に組み合わせることが重要である。

予防を目的としたコントロールは、情報漏えい事故の発生を未然に防ぐものであり、最もコスト効果が高い。重要性あるいは優先度が高い、と言い換えてもよい。その次に効果が高いのが、事故の発生する瞬間を検出／阻止するコントロールである。これらの予防や検出／阻止のコントロールの実装には、DLPテクノロジーを効果的に活用できる。

一方、事後対応を目的としたコントロールは、発生してしまった事故に対応するもので、コスト効果は低い。事故の発生をしばらく後で検出しても、事態の収拾には多大なコストがかかる。原因調査や再発防止の費用がかかるだけでなく、売り上げや利益が低下することもある。いったん失った信用や評判を回復するためには、長い時間がかかる。

事後対応コントロールの典型的な例としては、ログ管理ツールの導入が挙げられる。ログ管理ツールは、監査対応コストを減らすなどコンプライアンス管理の観点では効果があるが、単にツールを導入しただけでは、情報漏えい事故を防止する効果は弱い。予防や検出／阻止コントロールに漏れがあった場合の保険と位置づけるなど、全体のデザインをよく検討する必要がある。

バランスの取れた「最適なセキュリティ対策レベル」の実現

情報セキュリティをデザインする際のもう1つの重要な視点は、リスクとコストのバランスをとることである。

最近では、「あれもこれも禁止する」という強硬なセキュリティ対策を目にすることが多い。もちろん、USBメモリの使用禁止や、一般的なPCの使用を禁止してシンクライアントに置き換えるといった対策には、合理的な意味がある場合も多いだろう。しかし、業務にマッチしない過剰なセキュリティ対策を強要された現場からは、「もうこれ以上対応できない」と悲鳴に近い声が聞こえてくる。

セキュリティ対策レベルは、やみくもに向上させればよいというものではない。保護すべき情報資産の価値やそれを取り巻くリスク環境によって、それぞれに最適なレベルがある（図2-2）。業務上の要件を考慮しないままセキュリティ対策を過剰に積み重ねていくと、セキュリティ・レベルが上昇する一方でシステムの導入／運用費用やユーザーの負担も増加していき、許容できる範囲を超えたところで、破たんしてしまう。

企業のセキュリティ対策では、「できることはなんでもやる」という考え方は誤りである。リスク・マネジメントの考え方を取り入れ、リスクの大きさや対策の効果などを考慮しながら「最適な」セキュリティ・レベルを目指さなくてはいけない。情報セキュリティ・リスク・マネジメントのテキストとしては、専門家向きの内容ではあるが、「ISO/IEC 27005」（参考文献[1]）が参考になる。

DLPテクノロジーを用いると、情報の内容に基づく精度の高いコントロールを行うため、ユーザーや管理者の無駄な負担を削減できる。例えば、「USBメモリに機密情報をコピーすることだけを禁止し、それ以外の場合はUSBメモリの利用を許可する」といった柔軟な対策を実現できる。また、「持ち出し可能なノートPCの内部を定期的にスキャンして、機密情報を保管していない状態を維持する」といったことも可能である。DLPを活用すれば、「高いセキュリティ対策レベル」と「低いトータル・コスト」を両立できる。

次ページでは、具体的な「情報漏えい防止コントロール」を設計する際の管理基準の例を紹介し、企業の情報セキュリティ・マネジメントにおけるDLPの将来の位置づけについて考察する。