 |
||||||||||
|
||||||||||
| 前のページ 1 2 3 次のページ | ||||||||||
|
||||||||||
| なぜ、情報漏洩は止まらないのか | ||||||||||
|
では何故情報漏洩は止まらないのだろうか。それは、これまでのITセキュリティでは主にインフラの防御に主眼が置かれていたことがあげられる。このため、情報や知的財産のような不可視の実体の防御は検討されてこなかったのであろう。 実際の情報に対するアクセスを管理するためには、情報そのものを記録したデバイス(もしくはファイルシステム)やネットワーク、情報を編集・加工するアプリケーションの管理やID管理も必要になる。  図1:情報リスク管理の状況 (画像をクリックすると別ウィンドウに拡大図を表示します)
表2:情報管理にある4つの課題 この図を元に、これまで発生していた情報漏洩対策にまつわる様々な管理について、いくつかのカテゴリのセキュリティ実装に分けることができる。  図2:情報漏洩対策にまつわる様々な管理 (画像をクリックすると別ウィンドウに拡大図を表示します) 図2における第1の問題では、情報などのアクセス制限が有効に行えていないケースである。これはファイルサーバにファイルを置く場合、必要なアクセス権を設定していないために誰でも読み書きできてしまう。 では第2の問題ではどうだろうか。ここではファイルやサーバなどへのアクセス権限管理が行われていても、例えばすべての人間が管理者権限でログオンして作業を行うようなケース。これだと誰の操作であるか判断することができない。 そうなると第3の問題が発生する。一度データが個々のクライアントPCに出回ってしまうと、リムーバブルデバイスからの流出や電子メールを使った漏洩は容易に発生してしまう。 これに対して、これまでのセキュリティ対策にはどんなものがあったのであろうか。リストアップすると次のようなものがある。
表3:今までのセキュリティ |
||||||||||
| 情報漏洩から防御するために必要な考え方 | ||||||||||
|
上記はあくまで例であるが、ここで注目すべきなのは、これらの仕組みはすべて外部からの攻撃を想定した防御スキームである。ネットワーク防御やプログラムレベルでの防御は、適切に運用されていれば、外部からの不正アクセスの遮断に対して非常に強固な仕組みを実現できる。同じく認証技術に関しても「全社的なディレクトリサービスを構築し、適切に運用されていれば」有効な防御手段もしくは漏洩抑止手段となる。 しかし情報漏洩を止めるためには、上記のようなインフラ防御やプログラムの対応、認証技術だけで充分なのであろうか。実は先ほどの表2に記載したものは、基本的に内部の人間の正規のアクセスを装った情報持ち出しに対して有効に働いてこなかったのである。これは特に日本では性善説でシステムを構築してきたため、権限のあるものによる事件が多発するまで漏洩について検討してこなかったことだともいえるだろう。 では情報漏洩を防ぐには、どういった仕組みが考えられるであろうか。それには下記に述べるような、「情報管理規定の制定と教育」「情報管理技術の導入と運用」の2つがある。
表4:情報管理規定の制定、教育
表5:情報管理技術の導入、運用 上記の「情報の分類」は、「技術」ではなく「運用ポリシー」である。情報漏洩対策を考える上で、実は一番難しくかつ重要なものなのである。ポリシーには「関係者外秘」や「社外秘」というドキュメント分類のポリシーと、どのように「保管」し、「アーカイブ」され、「誰」が「どのように操作」できるかなどが規定されているべきである。 ここには社内の人間はもちろん、関係会社の社員なども含まれていないと効果的とはいえない。例えば前述したカード会社の情報漏洩の事件では、まさに関係会社の社員による持ち出しが問題となっているからである。 |
||||||||||
|
前のページ 1 2 3 次のページ |
||||||||||
|
|
||||||||||
|
|
||||||||||
|
||||||||||
|
|
||||||||||
|
||||||||||
|
|
||||||||||
|
||||||||||
-
-
連載
