IT Proでもたびたび報じているように,企業による個人情報の流出事件が頻発している。対岸の火事ではない。個人情報を取り扱うすべての企業が情報流出対策を施す必要がある。とはいえ,情報が流出するケースはさまざまであり,一つの対策ですべてをカバーすることはできない。そこで今回の記事では,情報流出の事例をいくつか取り上げ,それらを防ぐにはどうすればよいのかを考えたい。

「うっかりミス」の事例

 情報が流出するケースには,過失によるものと故意によるものに大別できる。過失によるものとしては,ユーザーの“うっかりミス”によるものが考えられる。そのデータにアクセスする権限を持つユーザーが引き出したデータが,うっかりミスにより,権限を持たない他人に奪われ,流出してしまうケースである。

 筆者が何度か聞いたことのある事例を2つ示し,それぞれの対策を考えよう。

■印刷した重要文書の取り忘れ

 最近では,ネットワーク・プリンタを使用しているオフィスが多い。ネットワーク・プリンタでは,座席のすぐ近くにプリンタ本体があるとは限らない。このため,重要文書を印刷させたものの,印刷物を取りに行く前に,電話がかかってきたり,他の用事を言いつけられたりして,取りに行くのを忘れるケースがある。

 そして,本来はその重要文書にアクセスする権限がない社員に印刷物を取られてしまい,流出してしまう。その社員が文書の重要性を知って故意に盗む場合もあるだろうし,重要性を知らないために普通の印刷物だと思って破棄し,第三者に盗まれる場合もあるだろう。

 文書の取り忘れ対策としては,出力命令をプリンタに送信した本人が,プリンタ本体の場所に行かないと文書を出力しないような仕組みが望ましい。具体的には,そのユーザーが所有するICカードやICタグといった認証機器をプリンタに挿入あるいはかざさないと出力しないようにする。こういった仕組みを実現できるプリンタあるいはプリンタのオプションは,現時点では製品化されていないが,今後ニーズが高まれば製品化されるだろうと筆者は考える。

■モバイルPCやPDAの置き忘れ/紛失

 モバイルPCやPDAなどを持ち歩いて仕事をすることが一般的となっている現在では,これらを置き忘れる,あるいは紛失することで情報が流出する危険性がある。

 これらの対策としては,モバイルPCやPDAのハード・ディスクを丸ごと暗号化しておいて,起動時にパスワードやトークンによるユーザー認証させる方法が考えられる。ユーザー認証に失敗すると,ディスクの中身は復号されないので,情報流出を防げる(関連記事)。

情報の持ち出しを防ぐ

 情報流出対策で難しいのは,そのデータにアクセスする権限を持つユーザーによる情報の持ち出しを防ぐことである。権限のあるユーザーが相手なので,簡単な対策ではかいくぐられてしまう。この場合には,大掛かりにはなるが,「社内では情報を参照できるが,社外に持ち出すと参照できなくなる(暗号化される)」といった仕組みが効果的である。

 具体的には,社内の重要なデータはすべて暗号化しておき,社内の「キー・サーバー」にアクセスしないとデータを復号できないようにする。この仕組みならば,モバイルPCやメディアに重要データをコピーしても,そのままでは暗号化されたままなので,情報を持ち出される心配はない。

 データを持ち出そうとすると,そのデータを強制的に暗号化する仕組みも,情報流出対策に有効だ。具体的には,Windowsのドメイン管理下にある社内PC上ではデータを参照できるが,そのデータをメディアやWindowsのドメイン管理外にあるモバイルPCなどにコピーしようとすると,強制的に暗号化されてからコピーされる。このとき,データの暗号化は社内PC上で動作するソフトウエアにより実現されるので,キー・サーバーなどは必要ない。

 これらの仕組みを実現する製品は,実際にいくつか市場に出ており導入が可能である。とはいえ,導入するにはコストがかかる。ユーザーの利便性も低下するだろう。しかしながら,顧客の個人情報といった重要な情報を取り扱うシステム(ネットワーク)では万全を期したいので,導入を考慮してもよいだろう。

 今回取り上げた事例と対策はあくまでも一例である。もう少し一般的に書くと,以下のような対策が必要となるだろう。

  • 社内フロアへの立ち入りを制限する
  • 許可していない端末を接続させない
  • 社内システムへのログイン時にユーザー認証を行う
  • ファイルの操作やアプリケーションの起動などを制限する
  • 社内の端末を持ち出せないように鍵をかける
  • 社内システムのコンテンツや共有データにアクセス・コントロールを施す
  • 携帯メディアへデータをコピーできないようにする
  • メールなどにデータを添付させないようにする
  • データを持ち出されても社内でしか見られないように暗号化する

 これらをすべて厳密に実施するとなると,コストはかかるし,ユーザーの利便性は確実に低下する。しかし,一度流出した情報と失った信用は元には戻らない。コストとリスクのバランスをとることは重要だが,情報保護にはできるだけのコストをかけるべきだろう。既に,そういう時代になっているのだ。

大谷 俊一 (OHTANI Toshikazu) ootaniアットマークmxe.nes.nec.co.jp
NECソフト株式会社 MCシステム事業部セキュリティ部

 IT Proセキュリティ・サイトが提供する「今週のSecurity Check [一般編]」は,セキュリティ全般の話題(技術,製品,トレンド,ノウハウ)を取り上げる週刊コラムです。システム・インテグレーションやソフト開発を手がける「NECソフト株式会社」の,セキュリティに精通したスタッフの方を執筆陣に迎え,分かりやすく解説していただきます。