現代の情報漏えいは外部からの攻撃ではなく、内部不正によって起こる
古今東西、情報は極めて重要な資源です。従って情報漏えいは、個人のみならず、企業あるいは国家レベルで甚大な損害を与える行為と言えます。
810年(弘仁元年)、嵯峨天皇によって蔵人所(くろうどどころ)が令外の官職として設置されました。これは、側近を蔵人として殿上に近侍させることにより、体制固めや情報漏えいの阻止を行った最初の対策と言われています。
しかし、現代において情報は、インターネットと多種多様なメディア、デバイスが繋がり、ビッグデータと言われる膨大な情報が簡単に取り扱うことができる環境になっています。
そのため情報漏えいのリスクは年々高まってきており、中でも、外部からの攻撃による情報流出ではなく、内部不正による情報漏えいが増えているというのが近年の情報化社会を取り巻く現状と言えます。
内部不正の発生する仕組みと対策例
PA(独立行政法人情報処理推進機構)によれば、不正行為は、「不正のトライアングル」という「動機・プレッシャー」、「機会」、「正当化」の3 要因が全て揃った時に発生すると言われています。
不正のトライアングルでは、3つの要因の低減が内部不正を防止するために有効としています。中でも能動的に組織が対策できるのは「動機・プレッシャー」と「機会」の低減です。特に重要な情報が保管されているファイルやデータベースについては、以下のような対策をとることで、情報漏えいリスクを低減する必要があります。これらの内容は、IPA「組織における内部不正防止ガイドライン」にわかりやすく記載されています。
①重要な情報であることを明確にし、適切なアクセス権限を付与すること
重要な情報であるか否かを明確にし、適切なアクセス制御を可能とすること。
重要な情報に対するアクセス権限をもつ操作員を最小とすること。
アクセス権限は定期的に見直すこと。退職者、委託先操作員などアクセス権限保持者の異動時には速やかにそのIDとアクセス権は削除すること。
②重要情報の持ち出し・可搬媒体等の持ち込みの監視
情報機器や記録媒体の管理を厳格にすること。
ノートPCやUSBメモリ、スマートデバイスなどの可搬媒体の利用を制限し、持ち込み、持ち出しには管理者の承認が必要で、記録を取ること。
③定期的な操作履歴の監視・監査
内部不正の早期発見や事後対策として、重要情報へのアクセス履歴、利用者の操作履歴等のログを記録すること。
ログを定期的に監査し、異常な事象の発見に努めること。
特に ③定期的な操作履歴の監視・監査「利用者の操作履歴等のログを記録すること」「ログを定期的に監査し、異常な事象の発見に努めること」を行い、各自のPCに操作ログのすべてを管理すれば、「いつでも見られている」と、抑止効果に繋がります。
実際に、2014年のベネッセコーポレーションの顧客情報流出事件で、業務委託先のシステムエンジニアがデータベース(DB)に直接アクセスせず、複数のサーバーを経由して顧客情報をコピーしていたことが、捜査関係者への取材で分かっております。このシステムエンジニアは「ばれないと思った」と供述しており、警視庁はDBの仕組みを熟知した上で偽装工作を図ったとみているとのことです。
こいった事件からもいかに、操作ログ全てを記録・監視していることを社内で認知させ、情報漏えいを抑制することがいかに重要であるかが示されています。
クライアントPCのログ収集・分析・活用にはクラウド型サービス
クライアントPCのログ収集・分析サービスは市場にいくつかリリースされていますが、一般的には、「アクセス管理」「セキュリティ管理」「資産管理」「電源・省電⼒管理」などの機能をもったソフトウェア及びクラウド型サービス等のことをいいます。
社内にあるPCのログ収集・分析をすることにより、情報漏えいのリスクを低減しますので、内部統制対策にも最適でしょう。情報システムを管理する部署がない企業などには、クラウド型サービスがおススメです。初期導入費用や月額コスト、運用管理を抑えることが期待できます。
①PC端末の操作ログをクラウド上で管理
②簡単なインストール作業と初心者でもわかりやすい管理者画面
③導入・運用コストの低減