情報漏洩対策が複雑化している。メール、Webアクセス、持ち出しPC、外部記憶デバイスなど、情報流出経路が多岐にわたっている上に、対策製品も多い。企業にとってはどの製品を利用すればどの程度効果があるのかがわかりにくい。この状況を、セキュリティ対策製品の最大手であるシマンテックはどのように考えているのか。製品戦略を担当するバイスプレジデントである、アート・ギリランド氏に聞いた。
 写真●米シマンテックのアート・ギリランド氏 [画像のクリックで拡大表示] |
シマンテックは、企業で発生する情報漏洩の原因をどう分析しているのか。
情報漏洩は、企業のセキュリティ責任者にとって最大の懸案懸念といえる。シマンテックの調査では、セキュリティ担当者の85%が、2007年に情報漏洩事故を1件以上経験したと答えている。
原因は大きくわけて2つある。1つは従業員の不注意だ。メールやFAXの誤送信、ノートPCの紛失などがこれに当たる。もう1つはビジネス・プロセスに起因するものだ。
ビジネス・プロセスに起因するとは、具体的にはどういうことか。
ビジネス・プロセスを企業がコントロールできていなかったり、不備があったりするケースを意味する。
実は、悪意を持って情報を盗み出すケースは非常に少ない。1%にも満たない数だった。犯罪者が本気になった場合、情報漏洩を防ぐのは非常に難しい。
まずは送信メールのチェックを
情報漏洩対策といっても、「具体的に何をどこまで実施すればよいかわからない」という声がある。
もちろん情報漏洩対策は重要だが、ITにはビジネスを促進する役目もある。情報漏洩対策と業務のバランスを取らなくてはならない。
シマンテックが推奨するのは、2つの対策だ。まずは送信メールの内容を監査する。監査担当者が内容をチェックする仕組みを実現することで、最も大きな漏洩リスクである「メールによる情報の誤送信」を防ぐ。シマンテックの「Symantec Mail Security」などの製品が有効だ。
2番目に着手すべきは、ノートPCなどの「エンドポイント対策」だ。ウイルス対策は当然として、USBデバイスの利用などを制御して端末からの情報漏洩を防ぐ。
ほかにも企業が情報漏洩対策として実施すべきことは多々あるが、すべてを一度にやることはできない。まずはこの2つを徹底し、その上で段階的に対策レベルを向上させていけばよいのではないか。
日本企業の多くは業務委託先からの情報漏洩に頭を悩ませている。欧米企業はどのような対策を取っているのか。
欧米企業も、日本企業と同様に頭を悩ませているのが実情だ。対策は必ずしもうまくいっていないとみている。私見では、DRM(デジタル著作権管理)技術を使ってデータそのものをコントロールする技術が有望と考えている。
