「約3504万件、約4858万人」という膨大な数の個人情報が漏洩したベネッセ事件をはじめ、2014年に入って内部犯行による事件が相次いでいる。横浜銀行では盗まれた口座情報からキャッシュカードが偽造され、国立国会図書館では、のぞき見られた内部情報によって結果的に入札業務が妨害された。いずれも一般社員による「うっかりミス」などではなく、システム管理や運用を任されている人間が、明確な意図を持って情報を不正に入手し、悪用していた。
こうした報道を見聞きし、「わが社は大丈夫か」と不安を募らせたり対策に追われたりしている企業ユーザーは多いだろう。セキュリティベンダーに尋ねてみても、「ベネッセ事件後、内部犯行防止や情報漏洩対策に関する相談やセミナーへの参加申し込みが急増している」と各社は口をそろえる。
従来の常識が通用しない
漏洩事件を起こした企業は対策をしていなかったわけではない。多くのケースで「セキュリティポリシーや業務規則で従業員の行動を制限する」「教育を実施して意識を高める」「アクセスログを記録し監査する」「USBメモリーの利用に制限をかける」といった基本的な対策を実施していた。
ただ、例えばベネッセ事件の場合、PCでのUSBメモリーの利用には制限をかけていたものの、スマートフォンとの間で画像などを転送する別の仕組みである「MTP(Media Transfer Protocol)」を制限していなかったことが内部犯行を招いた。
この件でベネッセに欠けていたのは「情報の流出経路は増え続ける」という“新常識”だった(後述)。これを押さえていれば、「流出経路に漏れがないか」というチェックを定期的に行うことで、スマートフォン経由での情報流出を防げた可能性が高い。
ITの技術革新は日進月歩で進んでおり、企業を取り巻く社会的状況も変化し続けている。情報漏洩を防ぎたい企業には、そうした変化によって次々と生まれる新常識をいち早く押さえ、対策の実効性を保ち続けることが求められる。セキュリティベンダーや専門家、ユーザー企業の取材を通じて浮かび上がってきた新常識を紹介しよう。