備えはありますか? 情報漏えいという名のリスク
第3回「かくして機密情報は漏えいする:事故編」
情報漏えいで最も多いケースは「事故」最も多い情報漏えいは「事故」によっておきる
前回の当コラムでは、数ある情報漏えいのうち、インターネットから内部を狙う「攻撃」について紹介しました。ニュースでもしばしば取り上げられるWinnyを悪用するウイルスなどの暴露ウイルス感染による情報流出、OSやソフトのセキュリティホールを突いたり、他人になりすましたりしてシステムに侵入する不正アクセスなど、インターネットにはさまざまな脅威が存在することがおわかりいただけたかと思います。
さて今回は「攻撃」とは逆方向、内部からインターネットへと情報が流出してしまう「事故」による情報漏えいについて解説します。「攻撃」と「事故」を比べますと、「攻撃」はスキャンダルや犯罪につながることが多く、今でもニュースで頻繁に取り上げられます。一方「事故」による情報漏えいは、過失が主な原因となり目立たないため、報道での扱いも小さくなりがちです。よって皆さんも「情報漏えい」というと「攻撃」の印象が強いのではないのでしょうか。しかし実際は、「事故」による情報漏えいがはるかに多いのです。
NPO団体である日本ネットワークセキュリティ協会(JNSA)の調査によれば、2006年に発生した情報漏えいのうち、「攻撃」として分類できるものは全体のわずか13.3%だったのに対し、「事故」は83.4%でした。つまり圧倒的に「事故」の方が多かったのです。さらに「事故」を詳しく分類すると、最も多かった原因は「紛失・置き忘れ」(29.2%)で、「盗難」(19.0%)、「誤操作」(14.7%)と続いています。
仮にPCが「紛失・置き忘れ」、あるいは「盗難」を受けた場合、最も大きな懸念点は、そこに格納されていた重要な機密データの保護です。
また、「事故」による情報漏えいは、「紛失・置き忘れ」、「盗難」に加えて、悪意を持った関係者が企業内のデータベースなどから直接大量のデータを持ち出す「不正な持ち出し」が増えており、流出規模が年々拡大する傾向にあります。これに伴い、企業が被る被害も莫大なものになってきているのです。
さまざまな「事故」の種類と特徴
では情報漏えいの中で最も多いケース、機密情報を保存したノートPC、USBメモリ、そしてCD-Rなどの置き忘れや紛失は、完全に防げるものなのでしょうか?
もちろんこういった事故に対する予防策を考えておくことは大切ですが、万が一発生してしまった場合の対処についても考慮が必要です。
情報漏えいの原因の第2位である盗難は、事務所・車上荒らしや置き引きなどでPCやメディア、書類等が盗まれるケースです。中でも特に多いのが、持ち運びできて現金に換えやすいノートPC。出先でも社内と同じように仕事ができるノートPCは、大量のデータを内部に保存できるため、盗まれたときの被害も大きくなります。盗難の対策としては、防犯面の充実、意識の徹底はもちろんですが、万が一被害に遭ってもPC内部の情報を見られないよう、USBキーや指紋による認証を導入したり、データを暗号化するなど二重、三重のセキュリティ対策を施しておくべきでしょう。
紛失・盗難に次いで多い原因が、誤操作です。よくある例でいうと、機密情報を記載した添付ファイルを、本来の送信対象ではない相手に送ってしまったケース。
またe-mailアドレスの流出例でいうと、任意の情報を複数の宛先に送信する際、本来は「Bcc」に入れるべきアドレスを誤って「To」や「Cc」に入れてしまったことにで、本来は開示する必要のない送信先のe-mailアドレスが結果的に流出してしまったというケースも少なくありません。大きなところでは、顧客のメールアドレス12,000名分が流出という事故も実際にありました。
これらは単純な操作ミスによるものがほとんどですが、内部文書を本来想定しない相手に送ってしまうと、社の信用問題にまで発展する可能性があります。注意するにこしたことはありませんが、リスクが気になる場合はそれぞれの対策を検討してみてもよいでしょう。
「事故」の中でも、最も悪質な原因といえるのが情報の「不正な持ち出し」です。これは社員やアルバイト、関連会社などの人間が、故意に企業の機密情報を持ち出すケースです。結果としては明らかな「犯罪」となってしまい、しかも内部の人間が関わっているため、例え外部からの攻撃に対する強固なセキュリティや、適切な社内ポリシーを設定していたとしても意味がありません。また、企業内の機密情報に直接アクセスできるため、大量の情報を丸ごと持ち出されてしまいます。主な例では、社員が顧客のクレジットカード情報を持ち出して業者に売却し、のちにカードが不正に使用されて700万円近い被害が発生したケースなどがあります。これら犯罪については、内部統制の強化など、企業がしっかりと対策を行っている姿勢を社員に見せ、よこしまな考えが起きない環境を作ることも必要です。
「事故」への効果的な対策とは
情報漏えいの原因の大半を「事故」が占め、ミスにせよ悪意にせよ、その多くに「人の行為」が関わっていることはご理解いただけたでしょうか。それゆえ、社員の教育やコンプライアンスの策定ももちろん重要ですが、人によるうっかりミスや、故意による情報流出を防止する、システム面での対策も準備する必要があるのです。では具体的にはどのように対策を進めればよいのでしょうか?
対策を検討する際は、機密情報が記録されたPCや外部メディアを紛失・置き忘れ、または盗難を受けたケースを想定する必要があります。つまり、いかにしてそうしたPCからの情報流出を防止するか、またそのような状況におかれやすい外部メディアへの機密情報のコピーをどうやって制限するか、という考え方です。
今回の話題も含め、次回は「事故」そして「攻撃」に対する、包括的な対処法についてお話ししましょう。
