今年7月,たて続けに個人情報の漏えい事件が報道された。特にアリコ ジャパンの事件に関しては,その影響度の大きさからか,新聞各紙の一面を飾った。2005年に個人情報保護法が全面施行されてから4年が経過したが,個人情報の漏えいは一向に減らない。2007年3月の大日本印刷の情報漏えいをはじめ,事件は次々に報告されている。

 ただ,これらの事件の多くは,情報の流出経路がはっきりしていない。実際の情報が漏れた時点から時間が経過し,事実確認すらままならないというケースは少なくないが,意図的に具体的な漏えい内容を示さないケースも少なからずある。このため事実情報は共有されず,一般組織が他組織のインシデント内容を反面教師とし対策を実施することは限られている。

 そこで本稿では,近年発生した情報漏えい事件の漏えい経路を紹介するとともに,これらの対策について考えてみたい。

よくある情報漏えい経路は3種類

 よく耳にする情報漏えい経路は次の3種類だろう。
(1)外部からのデータベースへの攻撃(SQLインジェクションなど)
(2)暴露系ウイルス(Antinnyウイルスなど)
(3)内部犯行
 (1)は個人情報保護法をあざ笑うかのように2005年初頭から流行し始めた。現在の情報漏えいは,外部からのSQLインジェクションによるものが多い。(2)は改めて説明する必要もないだろう。P2P利用者が違法ソフトウエアなどをダウンロードした際にウイルス感染してしまうケースだ。(3)のケースは,自社の社員だけでなく,業務委託先の社員による犯行もある。

 ただ実際には情報の流出経路は多岐にわたり,漏えいを見過ごし,発覚までに時間がかかることがある。実際のインシデントで見付かりづらかった漏えい経路を挙げると,
ア)インターネット・ストレージ・サービス(データ保管)の利用
イ)バックアップ・データの送信
ウ)パケット転送
といったものがある。それぞれ,もう少し詳しく紹介しよう。

 ア)は近年注目されている漏えい経路の一つである。一般的なURLフィルタリングのブラックリストには著名なサービスのURLしか登録されていない。このため,基本機能しか利用していない組織の場合,容易にデータを持ち出されてしまう。SSLを利用しているサービスなどは監視の目をすり抜けている可能性があるため厄介だ。可能であれば,SSLに対応したセキュリティ・ツールを利用する方が良い。

 この関連で最近気になっているのが,仮想デスクトップである。デスクトップ環境そのものをネットワーク上のサーバーに置くものだ(写真1)。今後,モバイルWiMAXなどの高速無線技術や仮想化技術が広まると,ITコスト削減やデータ保護の観点から,採用企業が増えていくと思われる。こうした環境では,当然,データもサーバー上に置くことになる。こうしたサービスを利用する場合には,情報漏えい防止策を入念にチェックする必要があるだろう。

写真1●仮想デスクトップの画面イメージ
[画像のクリックで拡大表示]

 イ)のバックアップ・データには様々なデータが含まれていて,サイバー犯罪者にとっては格好のターゲットである。データベースのバックアップ・ファイルそのものを転送されることもあるので要注意だ。データベースからの情報漏えいと聞くとSQLインジェクションを思い浮かべることが多いかもしれないが,そう思い込んでいると流出経路を見落とすことになりかねない。

 ウ)は一時期中国で流行した攻撃手法である。攻撃者が侵入したホストにパケット転送ツールをインストールし,ターミナル・サーバーを起動。ターミナル・サーバーからデータを外部のプロキシ・サーバーに転送し,対象ホストにある情報を奪うといった手口だ。ウイルスではないのでウイルス対策ソフトでの検出が難しい場合がある。

 これらの気付きづらいインシデントの特徴は,いずれも“日常的な通信”に類似していることだ。いわゆる“悪意ある通信”が含まれていないため,ゲートウエイで見張っていても見つからないことが多い。

流出経路は確かにふさがれているか

 情報漏えいを防ぐには,流出経路をふさげば良い。もちろん,多くの企業がURLフィルタリング,メール・フィルタリングといったセキュリティ・ゲートウエイを導入するなど,対策を講じている。ただ,抜け道はどこに潜んでいるか分からない。そこで,流出経路を見落としていないか,チェックしておきたい。特に,インターネット・ゲートウエイに導入されているセキュリティ機能の有効性,パソコンの運用ルール,リモート・アクセスをはじめとするVPNの設定――である(図1)。

図1●注意したい情報流出の経路
適切に設定されているかどうかのチェックも欠かせない。
[画像のクリックで拡大表示]

 社内から外部ネットワークへの通信の制限は,一般的な取り組みと言っていいだろう。当然,ファイアウォールやプロキシ・サーバー,IPS(侵入防御システム)などセキュリティ・ゲートウエイを使って,不審なサイトへの接続,不審なユーザーからのアクセスは遮断するように設定されているはずだ。

 ただ,セキュリティ・ゲートウエイを過信すると危険である。適切に設定されているとは限らないからだ。実際,これらの機器の導入後,その有効性を評価したことはあるだろうか。筆者の知る限り,そのような診断をした組織はほとんど見たことがない。試しに,リスク対策担当者の許可を得て,制限回避のテストをしてみることを推奨する。