情報漏えいの現状と対策 第3回 情報漏えいを防ぐ組織体制、ルール作りと徹底方法 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.11.19(日)

情報漏えいの現状と対策 第3回 情報漏えいを防ぐ組織体制、ルール作りと徹底方法

特集 特集

 2009年になっても、ファイル共有ソフトによる情報漏えいが相変わらず世間を騒がせている。そんな中、ファイル共有ソフトの定点観測を行っていることでも知られるネットエージェント社が「情報漏えい対応ガイド」を1月5日に公開した。

 情報漏えいの危機感自体は多くの経営者に認知されていると言えよう。しかし、同社社長でもある杉浦 隆幸 氏によれば、危機意識が一般化したことで、多くの誤った対処法も一般化しつつあるという。本稿では、企業の経営者や管理層が、情報漏えいの初動対策でしでかしてしまいがちな典型的なパターンについて迫った。今回は、情報漏えいを防ぐ組織体制、ルール作りとその徹底を考える。

●業務に合わないルールは手段を高度化させる。

 上場企業などセキュリティに敏感な企業では、セキュリティレベルが高くなった弊害で仕事がやりにくくなってしまっているケースが多くなっている。セキュリティレベルが適正になるのは良いことなのだが、本当にそれが適正なのだろうか。取り決めたそのセキュリティレベルの実態はどうなっているのであろうか。

●守れないルールを作る

 企業でよくあるルールで「USBメモリの使用禁止」というものがある。しかし実際にはルールを作っただけでは全くダメで、技術的に抜けがないようにシステムに制限をかけない限り、こっそり買ってきたUSBメモリも普通に使えてしまう。また、iPodやPSP、SDカードリーダならOKであったりと穴も多い。Winnyを禁止すると、その代わりにShareを使う、といった「抜け道探し」が大きな組織では特に横行しがちである。ルールを作るならば、単にルールだけ作るのではなく、禁止できることは技術的に禁止するようにして、ルールが徹底されていることをPRすることも重要である。抜け道だらけのルールを実際に抜けた経験のある人は、その抜け道を塞がれてもまた次の抜け道を探そうとするいたちごっこになるからだ。抜けようとしてもそう簡単には抜けられないようにシステムを設定しておくこと、いたちごっこを防ぐ意味でもルール作りと物理的な対策を連動させておくことが必要である。

 社内からの2ちゃんねる閲覧を「コンテンツフィルタ」で禁止したとしよう。コンテンツフィルタは通常URLでアクセス禁止となるため、抜けようとする人はまずGoogleなどの検索エンジンのキャッシュやWebArchiveの履歴などを経由して閲覧しようとする。最近の賢いコンテンツフィルタはそういう方法もブロック可能なのだが、そうすると今度は他の方法を考える。例えばRSSリーダで掲示板を見ることも可能なので、それを使って閲覧したりするわけだ。それも止められた時は、CGIプロキシサーバ経由で見ようとする人も出てくるだろう。

 もちろん、ここまで来るには多数の挫折者を出しているはずだ。しかし新しい閲覧方法が発見され、それが周囲に伝わってしまえば、結局また増える。そうしてどんどん「制御システム」が高度になっていくのである。

 もし仮に、それでも完璧に社内からの2ちゃんねる閲覧を止めてしまうと一体どうなるのだろうか?

 こうなると、皆2ちゃんねるは自宅でしか見なくなるので、社員の誰が2ちゃんねるを見ているのかを把握することは不可能である。それがどういう問題になるかというと、何か会社に関連する書き込みがあった場合に「誰が書き込んだのか」の候補者を絞ることもできなくなる。もし社内からの2ちゃんねる閲覧を禁止していなければ、社内にパケット記録装置などを仕込んでおくことで会社からの2ちゃんねる閲覧者が候補となるし、リアルタイムに会社から書き込んでいるところを発見することも可能だ。

●情報漏えいに対するペナルティは小さいと思われている

 情報漏えいを起こした企業のダメージは大きい。たとえプライバシーマークが取り消されたりといった事がなくても、取引先から取引停止を受けたりといった実害は非常に多い。

 また、今の職場が仮になくなったとしても問題なく生きていける人は意外と多く、そのため減給や解雇といったペナルティもそれほど抑止力にならないケースもある。そのような状況では、情報漏えいを起こしてしまった人に企業が与えられるペナルティは、その企業が受けた損害よりもかなり小さい。Winnyでの情報漏えいで個人として精神的なダメージを受けるのは、「会社の情報」より「個人のプライベートな写真」等の漏えいである。

 情報漏えいを起こした人は結局加害者的な立場であって、それが重大な事件であればあるほど、受ける損害の度合いはその被害者と比べて低くなる。

トレンドマイクロ、情報セキュリティ意識調査結果を発表 「匿名ならブログに会社の話を書いても良い」が6割以上
http://jp.trendmicro.com/jp/about/news/pr/article/20090323062027.html

 上記の調査結果でも出ているように、個人情報保護法施行後の日本は(過剰なまでに)個人情報やセキュリティに敏感になっており、それ以前に社会人になった人は比較的その意識が低い傾向にある。

●ルールと徹底、仕組みと技術で守ろう

 分厚いセキュリティポリシーや、積み上がって高額、高度になり過ぎたセキュリティ対策ソリューション、アプライアンス、ソフトetc…。ガチガチに決めた社内ルールをもってしても、結局それらが想定した通りには機能しない。場合によっては、まともに機能しているのかどうかさえ把握出来ていない。ルールや対策機器やソフトをきちんとモニタリングしていないのであれば、実際にうまく機能していない部分がどこなのかを把握できない状況が頻繁に起こる。そんな状況では、いくら高度なシステムがあっても宝の持ち腐れである。使い方の難しい機械の使い方を覚えたり、じっくり腰を落ち着けてモニタリングしたりなど、かなり時間に余裕のある担当者でもない限り現実にはやっていられない。システム担当やセキュリティ担当者のほとんどは「忙しい」のである。従って、当然ながら目の前に見えていない部分はどんどん後回しになってしまう。

 このように、ルールと実態が連動していないと、仮に誰かが偶然にも抜け道を見つければ、それを使われ続け、広まっていってしまう。そのような状態ではルールそのものの信頼性が低くなってしまい、またそれに引きずられて他のルールの強制力まで弱まってしまう。確かに、現状守れていないものに対しては、技術で制限をかけるなどでルールを黙っていても守れるようにする必要がある。しかし、ルールを有効に機能させるためには、技術的な裏付けがあって、なおかつきちんと機能させられるルールを採用すべきだ。

●進化する情報漏えい対策

 前回までの内容でも、情報漏えいはすでに起きていて、その次の段階に進んでいないものが多くあり、発覚する確率はあまりにも少ないことを書いた。自宅に仕事を持ち帰ること=「第1段階の情報漏えい」からその先の段階に進めないための情報漏えい対策が、最近注目を浴びてきている。つまり従業員の自宅PCからの業務情報の削除や回収である。

 方法は2種類。1つは…

【執筆:ネットエージェント株式会社 杉浦 隆幸】

【関連記事】
情報漏えいの現状と対策 第1回 最近の情報漏えい
https://www.netsecurity.ne.jp/7_12988.html
情報漏えいの現状と対策 第2回 企業が犯しがちな誤った対応とは
https://www.netsecurity.ne.jp/7_13058.html

【関連リンク】
ネットエージェント株式会社
http://www.netagent.co.jp/
情報漏えい対応ガイド【Winny・share 編】
http://www.netagent.co.jp/pdf/na_p2psec_guide0901r2.pdf
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

    ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  3. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

    クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  4. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第8回 「はした金」

  5. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第7回 「三人の容疑者」

  6. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  7. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第9回「勤怠簿」

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  9. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  10. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×