備えはありますか？　情報漏えいという名のリスク

意識調査の結果から見えてくる企業の現状

ここまで3回のコラムでは、近年多発している情報漏えい事件にはどのような種類と原因があるのか、またひとたび漏えいが発生するとどのような影響があるのかといったところを、実例を交えて紹介してきました。簡単におさらいすると、情報漏えいの種類には、インターネットから内部を狙う「攻撃」と、内部からインターネットへ向かう「事故」によるものがあり、中でも「事故」による漏えいは、「攻撃」よりもずっと高い頻度で発生しています。そしてこのような「事故」の主な原因を見てみると、

• 紛失、置き忘れ
• 誤操作
• 不正な情報持ち出し
• 内部犯罪、不正
• 設定ミス

と、故意や過失によるものもありますが、ほとんどは人間の「うっかり」が占めています。せっかく厳密なセキュリティポリシーを作っても、社員がPCの入ったカバンを電車の網棚に置き忘れるような「うっかり」ミスは防げないのです。それゆえ情報漏えいを防ぐためには、社員の教育やコンプライアンスの策定などはもちろん、システム面での対策が必要になるのです。ここまでは皆さんもご理解いただけたかと思います。

では、企業は情報漏えいに対して、いったいどのような意識を持っているのでしょうか。トレンドマイクロが本年3月に企業911社に対して実施した意識調査の結果を見てみましょう。
情報漏えいの原因に対する危機意識では、PC（56.1％）、USBメモリ（57.5％）、書類（54.8％）など、企業の過半数が、「紛失・置き忘れ」について懸念を抱いています。この「紛失・置き忘れ」、実は「事故」の中で最も多い原因となっているのです。さらに加えて52.8％が電子メールの誤用による情報漏えいを危惧していると回答しています。これらの数字からも、中～大規模企業は情報漏えいに対し、少なからず危機感を抱いていることが読み取れます。また、情報漏えいがもたらす悪影響として、全体の72.4％が企業イメージの低下や顧客への対応、法廷での争いなどを挙げており、多くの企業は経営的視点から情報漏えいのリスクを捉えていることがわかります。
対策に関しては、全体の76.7％が情報漏えい対策へ予算を投入する必要を感じており、このうち22.8％は12ヶ月以内に対策実施を予定していると答えています。また、このような対策の意思決定者は「役員クラス」が36.8％とトップで、経営層からのトップダウンが情報漏えい対策をスムーズに推進させることを示しているといえるでしょう。
しかしその一方で、現時点では68.6％の企業が情報漏えいへの対策を講じておらず、また専任の担当者を置いている企業もわずか27.3％と、抱いている危機感のわりには対策はまだまだ進んでいないという事実も明らかになっています。

ちなみに、これらの企業に情報漏えい対策に必要な機能を聞いたところ、「置き忘れたPCから情報を漏えいさせない」が41.6％でトップ、2位は「動作中にPCのパフォーマンスに影響しない」（40.6％）、3位は「情報の一部が改ざんされても検出可能」（38.3％）でした。

既存の情報漏えい対策の問題点とは？

上記の意識調査の結果からもわかるように、ほとんどの企業が情報漏えいに対して何らかのかたちで危機感を抱いています。そして、それに対応するかたちで、対策製品やソリューションも数多く提供されています。しかし、これらのほとんどは外部からの「攻撃」への対策を重視しており、PCの紛失や内部の人間による機密情報の持ち出しといった「事故」への対策は不十分と言わざるをえません。また、こういった製品でやみくもに対策を強化すると、PCやネットワークのリソースを大きく消費してしまい、パフォーマンスの低下にもつながります。端末上にデータを残さない「シンクライアント」も有力な情報漏えい対策として注目されていますが、今のところコストが高く、大規模な機器の入れ替えも必要になるため、容易に導入できるとは言い難い状況です。
製品やソリューションの導入以外にも、社員教育の充実や機密情報の取り扱いルールを設けるなど、規律面からの対策も必要です。しかしこれらが徹底できるかどうかは確実とは言えませんし、情報漏えいを防ぐためといって、例えばPCやUSBメモリの外部持ち出しを一切禁止してしまえば、かえって業務の効率を低下させてしまいます。
ビジネスを守るための規則がビジネスを妨げる、これでは本末転倒といえましょう。

今や企業はその社会的責任の重要性を認識する必要があり、また企業の責任はその規模に左右されないことから、中規模以下の企業であっても情報漏えい対策は必須のものになっています。よって、経営者みずから危機意識を持って対策を実行する「役員の意識改革」が重要であり、系列会社まで含めて、情報の取り扱いに注意を払う必要があります。

トレンドマイクロが提案する、新しい情報漏えい対策とは

では一体どのような製品が情報漏えい対策に有効といえるのか、トレンドマイクロがこのたび発表した「Trend Micro LeakProof」を例に見ていきましょう。

この製品は、企業のネットワーク上に設置するハードウェア・アプライアンスで、社内にある機密情報の流出を検知して防止するものです。まずシステムの稼働に先立ち、社内にある各PCへエージェントと呼ばれるクライアントソフトをインストールします。エージェントは「LeakProof DataDNAサーバ」から、機密情報をはじめとする「流出させてはいけないファイル」に関する定義ファイルをダウンロードして参照することで、該当するファイルの流出を防止します。これはウイルス対策ソフトの動作によく似ており、定義にあるファイルをメールで送信しようとしたり、USBメモリにコピーしようとすると、警告を発して流出を食い止めるわけです。

この「Trend Micro LeakProof」の最もユニークな点は、独自のフィンガープリント技術「DataDNA」にあります。この技術は、機密情報のファイルの中にある特定の文字列の出現頻度などを“指紋”としてパターン化するもので、コンパクトで高速、正確な検出を可能にしています。
特徴としては：

• 言語に依存しないこと
• 拡張子の変更や圧縮に対応していること
• 部分的にファイルが改変されていても検出できること

などが挙げられます。また、PCやネットワークのパフォーマンスに与える影響も軽微で、ユーザーがそれを意識することはほとんどありません。さらに、1台で1000クライアントの管理が可能（LP-100の場合）なため、比較的低いコストで導入できます。

機密情報ファイルの設定は「LeakProof DataDNAサーバ」上で行います。個別のファイルを指定できるほか、特定ディレクトリの中のファイルを全て機密情報として扱うことが可能で、指定の手順も容易です。また、該当ファイルが送信される際に表示される警告ウインドウは、その内容を自由にカスタマイズできることから、抑止効果や教育効果が期待できます。

情報漏えいに対する危機意識は総じて高く、どの企業も対策の必要性を感じていますが、現状の対策では守りきれないケースがあることも事実です。「Trend Micro LeakProof」は、導入や設定、運用の容易さと低コストにより、中堅中小規模の企業でも適切な情報漏えい対策を実現できるのです。

このTrend Micro LeakProofについては、5月14日～5月16日開催の情報セキュリティEXPOにも出展いたしますので、ご興味をもたれた方はぜひご来場ください。

次回以降は、昨今話題のSaaS（Software As A Service）について、ご紹介していく予定です。ぜひご期待ください。