そもそも情報漏えいはなぜ起こるのか
情報が漏えいする場所と、漏えい対策が抱える課題
具体的に、企業の実務において情報が漏えいしてしまうポイントを押さえておきましょう。
一般的に、営業担当者のノート・パソコンには、顧客情報が保存されています。見積・請求書やプレゼン資料なども保存されています。外出時には、必要に応じてUSBデバイスなどで持ち出したり、自宅での作業を行うためにノート・パソコンを持ち帰ります。
設計業の場合は、設計者同士がメールで情報をやりとりしたり、設計図面ファイルを共有したりします。また、外部の委託先(パートナ)に対して、FTPサイトやWebサイトを利用してデータの受け渡しをすることも、日常的な光景です。
|
|
| 図3: 情報漏えいのリスクは、いたるところに潜んでいる(クリックで拡大) |
この状況だけを見ても、情報漏えいのリスクは、いたるところに潜んでいます。企業によっては、これらをすべて禁止する製品(システム)を導入し、ヒューマン・エラーを未然に防ごうと努力しています。しかし、多くのケースでは、期待値ほどには機能できていません。
次から次へと開発される、新しい記憶デバイス、無線ネットワーク、Webメール、スマートフォンの普及など、変化の速いIT環境に常に対応しなければなりません。また、情報資産の保護にフォーカスするあまり、利用者(社員)の行動や操作手順の変更を強いてしまうことにもなります。
セキュリティを高めることが、結果として時間のロスとコスト増という問題を生む。こうしたジレンマに陥っているわけです。実際に製品を導入している企業における、実務運用環境での制限の問題は、以下のように深刻なものです。
情報漏えい対策製品を導入したことによる運用面での課題
- 大量のPCへのインストール作業が重労働
- 経営幹部の操作習慣を変えるのは困難
- ソフトの使い方が難しいと、習得に時間がかかる
- パスワードなどを覚えていられない
- 情報漏えい対策ツールが混在していて面倒
- 操作ログ管理は完全なのか、実際に有効なのか分からない
- 記憶媒体の使用を禁止できない環境(パートナ企業など)においても、データ流出を防がなければならない
- PC初心者ユーザーが社外環境でPCを使用する際、他者の助けを借りずにデータの安全性を確保しなければならない
一般的には、DRM(Digital Rights Management、デジタル著作権管理)と呼ぶ、ヒューマン・エラー防止のために制限を加える製品群を利用して、情報資産を保護します。しかし、実務環境にマッチしていないのも事実です。DRMの現状については、以下の問題があります。
DRMの問題
- 保護したいファイルに対し、ファイル・フォーマットごとにアクセス権限の設定作業が発生
- ファイルの作成者ごとに保護の有無を決定する仕組みであるために、漏えいリスクが高い(ポリシーにブレがある)
- 本当に暗号化が行われているのか、操作ミスがないのか、などの非確実性課題
- ファイルが大量にあった場合、誰がどのように管理するのか
- ファイルを外部の委託先(パートナ)に渡した場合にセキュリティが確保されるのか
- 保護対象のファイルを生成するアプリケーション側のバージョン・アップへの対応
DRMとは別の手法として、利用者のパソコンに制限を加える方法もあります。
パソコンに制限を加える方法
- 電子メール・フィルタリング
- USBデバイスへのコピー禁止
- 無線通信の禁止
- Bluetoothや赤外線通信の禁止
この方法には大きな弱点があります。出張者によるファイル持ち出しや顧客・外部委託先(パートナ)に対するファイル交換(共有)、Webへの公開まで制限してしまうため、本来の業務が成り立たなくなってしまいます。「インターネット・インフラを利用させない」と言っているようなものです。
