企業における情報漏えい対策-入門編(最終回)
~「何を何から守るのか」の整理から始めよう~

FOCUS ON YOUR PRIORITIES! , message on the card held by a man hand, vintage tone

これまでの記事を通して、情報漏えいは決して新しい問題ではなく昔からたびたび発生していたこと、しかも内外さまざまな原因で起こることをご紹介しました。今後も同様の状況は続くと思われます。企業の担当者はどのように対処してゆくべきなのでしょうか?

実はごく最近にも、あるエンターテイメント企業で、クレジットカード番号を含む顧客の個人情報流出事件が発生しました。残念ながら、クレジットカードが不正使用されたケースも複数確認されたということです。

原因はWebサイトが不正アクセスを受けたことでした。このように脆弱性が残ったままのWebサイトを運営していると、自社システムだけでなく顧客の個人情報も危険にさらしてしまう恐れがあります。もちろん最も憎むべきは不正アクセスを仕掛けた攻撃者ですが、インターネット上で何らかのビジネスを行う企業の責任として、攻撃の付け入る隙を与えないよう対策を講じることが重要です。

まずは「絶対に守るべきものは何か」の確認を

これに限らず、情報漏えいにつながる原因はあちこちに潜んでいます。その全てに対応していてはキリがありません。無尽蔵に予算や人員をつぎ込めるわけではない以上、何らかの優先順位を付ける必要があります。

そして優先順位を付けるには、「何を守りたいのか」を明確にしなければなりません。何を死守すべきなのか、何が漏えいすると最も大きなダメージが生じるのか。その次に重要なものは何なのか……逆に、攻撃者が最も魅力的と感じるものは何かという視点で見直してみるのも有効でしょう。

当たり前ですが、その答えは企業や組織によって異なります。製品やサービスに関わる製造情報や企業秘密かもしれませんし、顧客データかもしれません。今後は、マイナンバーを含む取引先情報や従業員の情報も、優先順位を上げて保護に取り組む必要があるでしょう。これを明確にした上で、その情報が「どこに」あるかを確認し、「どんな」攻撃や漏えい経路にさらされる恐れがあるかを洗い出します。その上で「誰が」「どう」取り扱うべきかを定めます。これがつまり「セキュリティポリシー」で、従業員全体にそのポリシーを周知、徹底していくことが大切です。

セキュリティポリシーを周知・徹底

 

ただし、ユーザーの意識や努力だけに頼るのも無理があります。そのうえ今や扱う情報はデジタル化されていますから、必要に応じてITセキュリティ製品を組み合わせ、アクセス制御や暗号化といった保護策をシステム側で自動的に講じてくれるようにすると、楽に管理できるはずです。守るべき情報の形態や保管場所に応じて、セキュリティソリューションというツールを活用していただければと思います。

また、どれほど対策しても100%ということはあり得ません。先の回でご紹介した「標的型攻撃」が典型例ですが、完全に防止することはなかなか難しいのが実情です。8割〜9割方の可能性をつぶしつつ、万一に備えた次善の策も必要でしょう。例えば、ログの監査によって漏えいにいち早く気付ける体制を築くのも、消極的ではありますが被害を最小限に抑える一つの手です。

おそらく今後も、さまざまな漏えい事件の報道がメディアをにぎわせることでしょう。それを目にした上司が「漏えいしたら大変だ、どうしよう」と心配するかもしれませんが、基本的には「守るべきもの」と「ポリシー」さえ明確に把握できていれば、本当に危険な脅威とそうでないものを峻別し、必要な対策(あるいは「心配する必要はない」ということ)を説明できるでしょう。

定期的な見直しを通じて不断の取り組みを

これまでの記事で、不幸にして情報漏えいが発生してしまったケースをいくつか紹介しましたが、その組織や企業が全くセキュリティ対策を講じていなかったわけではありません。中には、一般的な企業の水準以上の対策を講じていたにもかかわらず、情報を持ち出されてしまったケースもあります。

その理由の一つに、定期的な見直しを行っていなかったことがあるのではないかと考えられます。企業や組織を取り巻く環境は常に変わります。システム基盤もそうですし、ユーザーが扱う端末やサービスも様変わりします。10年前にはほとんど誰も使っていなかったスマートフォンが、今やメールをチェックするのに不可欠の手段になっているほどです。

手段が変わればリスクも変わる!

 

このように、情報にアクセスできる手段が変われば、考慮すべきリスクも変わります。もちろん攻撃手法も変わっていくことでしょう。ですから、保護策も変化に応じて手直しし続けていく必要があります。

一度何らかの対策を講じるとそれに安心してしまいがちですが、情報漏えい対策を含むセキュリティ対策は不断の取り組みでなくてはなりません。定期的に見直しを行い(この「見直し」作業自体、リストのチェックだけに終わり形骸化しがちなのですが、それはまた別の話です)、必要に応じて手直しを加えるという地道な作業こそが、漏えいに対する大きな守りになるでしょう。

 

編集:ビジネスon IT運営事務局(セキュリティ班)

メールマガジンを購読する

Pocket

コメント

「セキュリティ」のイベント・セミナー

開催
ランサムウェア対策ハンズオン