「多くのコストを投じても、情報漏洩を完全に防ぐのは難しい」——。情報漏洩の対策に取り組む企業の多くは、こう実感しているのではないだろうか。

 認証基盤の整備、暗号化ソフトの導入、シンクライアントの導入など、企業が情報漏洩対策として選択できる手法は数多い。しかし、どの手法も、企業の漏洩対策全体の一端を担う、という性質のもの。企業は複数の手法を取り入れて、漏洩のリスクをできるだけ減らしている、というのが実情だ。

 そんな中、にわかに注目されているのが、「フォレンジック」である。フォレンジックとは一般に、情報システムが持つさまざまな情報の中から、法的に有効な証拠になるような形で、不正や漏洩の痕跡を抽出・分析する手法をいう。欧米では「フォレンジック」というと、犯罪捜査のイメージが強い。しかし日本では、フォレンジックの手法を使って企業の実態を速やかに調査・分析できるようにすることで、情報漏洩を招く軽率な作業や不正行為を抑止できるのではないか、という発想が生まれている。

 実は筆者は、この「抑止力」にどれほどの期待をしていいものか、疑問に感じていた。前述したように本質的な情報漏洩・不正対策とは言えないからだ。同じコストをかけるなら、認証を強化したり、教育に力を入れる方が効果的なのでは、と考えていた。「抑止力」を甘く見ていたわけだ。

抑止力に期待するユーザー企業

 しかし実際にユーザー企業に話を聞いてみると、「あれこれ情報漏洩対策ツールを組み合わせて導入することを考えると、不正や漏洩の痕跡を抽出・分析するために通信内容を記録し、それによって抑止力を高めるほうが効果的」、「いろいろな対策ツールを入れると、あれができない、これができないと、業務に支障をきたすことが多い。その点、記録を取っておくだけなら、業務への影響が小さい」と、記録ツールを評価する声が多いことに驚いた。

 フォレンジックに関連する製品やサービスは数多い。特に企業が採用し始めているのが、社内LANの通信パケットをすべて保存するアプライアンスや、クライアントの操作内容をすべて記録するソフト、送受信メールをアーカイブするシステム、データベースの操作を記録するツールなどだ。単にログを記録するというものではない。通信内容や操作内容まで記録してしまう。

 捜査機関がハードディスクの中から不正の痕跡を見つけ出すのに利用している、ソフトウエアも、企業向け製品として国内で販売され始めている。米アクセス・データの「Forensic Tookkit」や米ガイダンス・ソフトウエアの「Encase」などがそうだ。ベンダーは、「製品を購入したり、製品の利用方法を習得しにセミナーを受講したりする企業が、大企業を中心に急増している」と証言する。

 メール・アーカイブ・ソフトのように数年前から販売されているものもある。しかし製品を提供するベンダーによると、内部統制の気運の高まりや昨今の報道によって、メールの真偽性や証拠能力についての議論が活発になっていることを受け、採用する企業が増えているという。

 もちろん、前述したように、記録をとっておいたり調査力を高めることが情報漏洩対策に直結するわけではない。通信パケットを保存しておいても、社員が機密情報をメールで外部に送信するのを防ぐことはできない。フォレンジックが効果を発揮するのは、あくまで「抑止力」にすぎない。

対策技術やユーザー教育では得られない効果

 なぜ、企業は抑止力に注目するのか。その答えがわかったような気がしたのは、Winnyを介した情報漏洩事故が頻発している実態を調査した時のことだった。技術や教育だけでは、やはり情報漏洩は防ぎきれないと、あらためて気付かされた。と同時に、技術と教育で埋められない部分を補う要素の一つが、抑止力なのではないか、と考えたのである。

 Winnyを使って情報が漏洩しているほとんどのケースでは、使われているのは私物のパソコンである。社内ルールで機密情報の持ち出しを禁止していても、業務上、社外に持ち出さなければならない事態は発生しうる。会社で仕事が終わらなければ、自宅で続きをやりたい、という気持ちが生じることは、誰にでもある。そのすべてをセキュリティ・ツールでコントロールするのは難しい。教育を徹底しても、その効果には限界がある。そんな状況で、「すべてを記録されている」という意識が働けば、持ち出しを思いとどまるのではないだろうか。

 どんなに高度なセキュリティ・ツールを導入しても、最後に軽率な行為、不正な操作をするのはユーザーである。これまでは、そのユーザーに直接的に働きかける情報漏洩・不正対策は、教育しかなかった。しかし、ユーザーへの直接的な働きかけの手段として、ユーザー本人に自制を促す「抑止力」を新たに加えることで、対策はいっそう強固なものになるのではないか、と筆者は考える。

 ユーザーのプライバシーの問題や、通信内容や操作内容を記録するストレージの費用など、フォレンジックに課題がないわけではない。しかし、ほかの手法では得難い効果がある以上、抑止力を生むフォレンジックに取り組む企業は、ますます増えるだろう。