本連載では,『技術に頼らないセキュリティ』と題し,情報漏洩対策を実施するにあたって多くの企業が抱えているであろう課題や問題点を挙げ,それらを技術に頼らない様々な仕組みや工夫によって解決することで,情報漏洩対策をムダにせず,効用を最大化するためのアドバイスを提供していきたいと思います。
漏洩データ量が飛躍的に増加
2005年に個人情報保護法が施行されて3年以上が経過しましたが,情報漏洩事件は減少するどころか増加傾向にあります。日本ネットワークセキュリティ協会(JNSA)が今年8月に発表した『2008年 情報セキュリティインシデントに関する調査報告書 Ver1.2』によると,2008年に国内で発生したインシデント件数は1373件で,2007年と比較して509件も増加しています。
世界的に見ても,増加傾向にあります。当社が今年4月に発表した『2009年 データ漏洩・侵害調査報告書』によると,2008年1年間の全世界での漏洩データは2億8500万レコードです。2004~2007年の4年間の合計は2億3000万レコードでしたから,飛躍的に増加していることが分かります。
情報漏洩事件の増加には,内部統制の強化による検出率の向上がある程度寄与していると思われます。ただ,激しい環境変化やビジネスのグローバル化などによって,パートナ企業とのやり取りなど企業が抱える情報資産が増え,管理が複雑化したことで,効果的な情報漏洩対策の実施が難しくなってきていることも大きな要因の一つでしょう。JNSA発表の報告書によると,『個人情報漏洩インシデント・トップ10』の発生原因のうち,実に8件が“管理ミス”です(残りの二つは不正アクセスと内部犯罪・内部不正行為)。従って,情報漏洩の発生を防ぐためには,いかに情報資産に対する管理ミスや不備をなくすかが大きなポイントになります。
原因の多くは管理上のミス
では,情報資産に対する管理上のミスや不備をなくすにはどのように情報漏洩対策を整備していけばよいのでしょうか。企業が現状で実施している情報漏洩対策の傾向から,問題点を探ってみましょう。
JNSAの『平成20年度 情報セキュリティ市場調査報告書』を見ると,対象企業1520社が情報セキュリティ対策に投資した費用のうち,60%以上が「技術的対策」となっています。従業員教育や体制整備などに関する「組織的対策」や,プロセス面での整備に関する「監視体制」は,いずれも10%台です。これは適度なバランスなのでしょうか。
情報漏えいの原因の多くが管理上のミスであることを考えると,既に偏重していると言える「技術的対策」をさらに強化しても,どの程度の効果が得られるか疑問が残ります。例えば当社の『2009年 データ漏洩・侵害調査報告書』の調査結果では,漏洩した情報資産の3分の2以上は,企業がその情報資産の存在そのものや,保管場所について十分認知していないものだった分析されています。どこにリスクがあるかを把握しないまま技術的な対策を講じても意味はありません。技術偏重の対策は,無駄なコストを費やすことになりかねません。それよりも,情報資産を適切に管理するためのプロセスや体制面を見直す方が効果的と言えます。
情報資産を適切に管理するには,技術だけでなく「人」と「プロセス」に目を向ける必要があります。情報漏洩対策コストを無駄にしないためのポイントを考えると,次の7カ条にまとめられます。
- やっている・できている“つもり”を疑う
- ルールを守りたくなる環境を創り出す
- ユーザーの利便性を損ねない仕組みを作る
- IT化による逆効果(かえって危険な点)に着目する
- 人によってぶれない重要情報の判断ルールを作る
- 現場参加型でルールを作る
- 対策のバランスを考える
7か条のほとんどは,人やプロセスにかかわるものです。中には,技術的な対策とは相容れない考え方もあります。例えば3番めにあるユーザーの利便性は,本来,セキュリティ対策とは相反するものです。ただ,ある側面でのセキュリティ対策を強めすぎると,エンドユーザーが抜け道を作ってしまう危険性があります。もちろん,技術的対策が不要だということではありません。ただ,ICTは活かしてこそナンボ。セキュリティ対策も効果を得られる方法を考えてはじめて意味が出てきます。
次回からは,この7カ条のそれぞれについて,事例を交えながら解説していきます。
ベライゾン ビジネス
グローバルサービス本部 プロフェッショナルサービス
シニアコンサルタント
