株式会社ノークリサーチ
第6回は「情報漏洩対策」を取り上げる。
現在生じている情報漏洩のほとんどが人による「アナログ行動」が引き起こしている。今回のコラムの主題「情報漏洩」は、人為的な原因による情報漏洩をITで阻止出来るのか、ということが主題である。つまりコンピュータシステムに直接起因する情報漏洩に対する仕組みはほぼ「コンピュータシステムで解決」できるといっても過言ではないだろう。最も悩ましいのは、人の行動をセキュリティ・ソリューションで監視・統制することが出来るか、だと思われる。
一般的な情報漏洩と言えばネットワークを介した外部からのコンピュータ・ウイルス感染、不正アクセスなどといった、コンピュータシステム上での被害だ。(元を辿れば人為的なアクションによる結果だ。)
以下で、まずは中堅企業の情報漏洩対策状況を調査データで検証しよう。
そして今後、情報漏洩対策を行う上での注意点を述べたい。
始めに整理してみると、「情報漏洩」は次の2通りのパターンで発生している。
(1)外部からのネットワークを通じた攻撃、侵入
(2)内部からの流出、あるいは持出し行為
(1)について。
外部からのネットワーク経由でPCやサーバにコンピュータ・ウイルスが感染したり、不正アクセスされたりする被害については、被害のイメージも浮かびやすいし、何より悪意を持った「加害者」の存在が明らかなため、対策へのインセンティブも強く働く。そしてアンチウイルスソフトや不正アクセス防止ソフトなどの対策製品はほぼ整備されている。しかも後段で確認するが実際の導入状況も極めて活発である。
一方(2)について。
内部からの人為的な情報漏洩は、情報漏洩を起こしうる「人」のパターンが2種類ある。「従業員」と「社内を出入りする社外の人」がそれに当たる。情報漏洩発生要因としては、「従業員」に起因することが実は多い。
続いて、情報漏洩を起こしうるパターンは代表的なものは次の4つ。「ファイル交換ソフト」、「有害サイト」、「電子記録媒体(USBメモリ、CD-Rなど)」、「私用ノートPC」が該当する。
従業員の持出し行為、不正行為による情報漏洩を語る際、「人は誰しも悪しき心を持ちうる」との考えから従業員の行動を監視したり様々な規定を設けたりすることは、日本の伝統的な企業文化=性善説にそぐわない、やりにくいなどといった文言をよく目にする。
一方情報システム部門では、社内の不正や過失を防ぐセキュリティ・ソリューション(以下=内部セキュリティ・ソリューション)導入についてユーザ部門の理解を得にくいという事情(取り扱いルールを押し付けられるため)もある。内部セキュリティ・ソリューションは投資対効果という尺度で計れず、経営側の決裁マターになるため、容易に情報システム部門でも提案しにくい。といったように、情報漏洩被害の重大さは漠然とわかりつつも、導入は粛々と進んでいないようだ。
実際、図1で分野別のセキュリティ対策状況を見てみると、「ウイルス、スパムメール、スパイウェア等対策を実施している」84.5%、「不正アクセスの防止(ファイアウォールの導入等)を実施している」77.3%、「データの二重化(バックアップなど)を行っている(ウイルス感染対策)」52.3%、これら上位3項目は先の(1)ウイルスや不正アクセスといった外部からのアタックに対するセキュリティ・ソリューションの対策状況に当たる。
そして、コンピュータシステムでの対策があまり進まないのが「社内でアクセス制限を設けている(個人認証の実施等)」42.7%、「持ち込みPC等未許可PCの接続防止を実施している」29.2%、「業務別に関係の無いPCからのアクセス防止策を実施している」23.2%、「サーバ上の機密データ等、持出し(コピー、印刷、メール等)防止策を実施している」15.5%で、これら下位4項目は先の(2)内部セキュリティ・ソリューションの対策状況に当たる。
ただしこの結果を受けて誤解が生じるようなことがあってはならない。つまり、「セキュリティ・ソリューションの導入=万全なセキュリティ対策」とは100%言い切れないということだ。特に内部セキュリティ・ソリューションについては、ウイルス対策に比べて実際には割高になっている。最近ではこの動きに対応したシンクライアント、あるいはセキュリティPCなどの専用ITシステムの需要が出始めている。
また今後1年以内に取り組みたいITキーワードを見ても(図2)、「会計監査など、業務単位の内部統制」44.2%、「ログ監視・収集など、OS/ミドルウェア単位の内部統制」39.3%を抑えて、「セキュリティ強化(個人情報漏洩防止、コンプライアンス強化)」が85.3%で、非常に意識が高いことは明らかになっている。間違いなくこの分野のソリューション導入が進むことを指し示す結果である。
情報漏洩などのリスク対策にITのセキュリティ・ソリューションが不可欠なのは論を待たない。しかし必ずしも万能薬ではないことは念を押しておく。
まずは社内の情報の取り扱いに対する規定を設ける必要がある。一定の違反行為にはペナルティを課すくらいの姿勢はもはや不可欠だ。そういった「人と人との取り決めという情緒的な要素」で解決できる部分をクリアしてから、システム構築に着手しないと穴だらけのセキュリティ・ソリューションになってしまう。逆に基本体制を整えてから着手すれば、システム化すべき要点も絞ることができるため、コストを抑えられる。
今や、情報漏洩対策のためのITソリューションの品揃えは充実している。詰まるところ、予算との兼ね合いでセキュリティレベルの「より確かさを保障できる」ということは間違いない。しかし、前々回コラムでも取り上げた「内部統制」と同様、「情報漏洩対策」も必ずしも「ITで万全」では無いということはご理解頂けたと思う。
だからといって情報漏洩の問題を、冗長な精神論で片付けられるはずもない。もはや情報漏洩対策を含むコンプライアンスの徹底は、取引先や関係各社をも包括し、社外からのクレディビリティを高めるのに必須の要件となっている。そして、このクレディビリティこそ今や、財務指標と並び企業の価値を計る重要なクライテリアになりつつある。
まず情報を取り扱う規範やモラルを整えた上で、情報漏洩という企業にとって「致命傷」にもなりうるリスクを、セキュリティ・ソリューションで最小限に食い止める措置をとることは、今や「最初のビジネスルール」と言えよう。