そもそも情報漏えいはなぜ起こるのか
企業を取り巻く、「情報漏えいリスク」と「対策」のジレンマ
昨今の企業における情報漏えい対策は、"実施必須項目"の中でも、最優先かつ最重要な位置を占めています。特に個人情報の取り扱いに関しては、自社のみならず、委託先からの情報漏えいも考慮しなければならず、対策を強固なものにする必要があります。
しかし、強固で堅牢な対策にすればするほど、社内におけるIT運用の自由度が奪われてしまいがちです。業務にも影響を及ぼしかねません。一方、対策が緩い場合には、瞬時に大惨事を招くことになるリスクを保有することになります。
このように、対策を強くするか弱めるかの"さじ加減"は、多くの管理者を悩ませる、とても難しい問題です。本連載では、企業の情報を守るために、「暗号化」という観点から、情報漏えい対策と、その具体的な方法を、分かりやすく解説します。
情報漏えいの発生源
まずは、情報漏えいが発生する原因を押さえましょう。主な原因は、ファイルの誤送付・誤配布、紛失、盗難、ホーム・ページからの流出、P2P型ファイル共有ソフト(Winnyなど)、廃棄、第三者提供、事務処理ミス、処分、誤開示、流出、など様々です。中でも、「盗難」「紛失」「誤送付・誤配布」の上位3つが、全体の60%以上を占めています。
|
|
| ADLPA(Asian Data Loss Prevention Assosiation)調べ |
| 図1: 情報漏えい事故、各月ごとの原因割合(クリックで拡大) |
この統計からも分かるように、「人」こそが、情報漏えい源となる最大の要素なのです。企業は、この「ヒューマン・エラー」の対策を、真剣に考えなければなりません。
イギリスのヒューマン・エラーの権威である、心理学者ジェームズ・リーズン氏は、以下のようにヒューマン・エラーの要因を挙げています。
ヒューマン・エラーの主要因
- 意図の把握ミス、判断ミス
→ 無意識な行動、安易な判断によるミス - 意図と異なるスキーマによる行動
→ 取り違え、思い込みによるミス - 記憶ミス、誤った手順による行動
→ 焦り、慌て、省略によるミス
これらが違反行為となり、事故・問題が発生しています。ヒューマン・エラーを減少させるためには、重点的に、以下の4点の対策に取り組むことが重要です。
ヒューマン・エラーの防止対策
- 報告する文化
→ インシデント報告の実践。小さな事故でも隠さずに報告する習慣 - 正義の文化
→ 安全規則違反など、意図的違反を放置しない - 柔軟な文化
→ 中央集権的な構造を、必要に応じて分権的組織に再構成する - 学習する文化
→ インシデントや事故のデータなどの情報から学び、改革する
現在、企業は、情報漏えい対策として、これらの「人的安全管理対策」を実施するとともに、ヒューマン・エラーを防止する方策として「ITセキュリティ製品」を導入しています。製品の力を借りて、人が間違った行動をとれないようにするのです。
例えば、自社内で利用しているパソコンのファイルを持ち出し不可能にしたり、電子メールによる誤配信をなくすために上司の承認後に送信するようにしたりできます。このように、根本的な防止ではなく、利用制限によって問題を回避するやり方が一般的です。
しかし、これらの対策では、出張先でのプレゼンテーション・ファイルすら持ち出せず、PowerPointによるプレゼンができなくなったり、電子メールの承認待ち時間が郵送と変わらなくなってしまったりするなど、インターネットが当たり前のこの時代に逆行した対応になってしまうこともあります。これらの対策が、企業自身の生産性を著しく低下させているのも事実です。
企業における情報管理の姿を具体的に考えると、実務環境における問題点は多種多様です。このため、起こり得るすべての情報漏えいの可能性を防止することは、現実的にはかなり困難であると言わざるを得ません。
|
|
| 図2: 情報漏えいの可能性をすべて防止することは困難(クリックで拡大) |
また、仮に、これだけの対策を行ったとしても、前述の通り、依然として情報漏えい原因の半数以上はヒューマン・エラーが占めているという現実があります。
