インシデント
- 2015/03/13
続発する「内部犯行による情報の不正持ち出し」を確実に防ぐには?
内部犯行による情報の不正持ち出しが続発
2014年7月に発覚した大手教育関連会社の顧客データ漏洩インシデントは、その規模と社会的影響の大きさから、世間に大きな衝撃を与えました。メディアでは事件発覚後の同社の対応や、漏洩した顧客データの流出経路などが大きく取り上げられましたが、それとともに衆目を集めたのが、顧客データが内部の人間によって持ち出されたという事実でした。
思えばその4カ月前には某大手メーカーでも、元従業員が半導体の研究データを不正に持ち出して、競合企業に持ち込んだのではという疑惑が持ち上がりました。また大手自動車メーカーでも、似たような事案が発生しています。これらの企業は、どれも日本を代表するような大手企業ですから、情報セキュリティ対策にはそれなりに気を遣っていたはずです。にもかかわらず、これだけ大規模なインシデントが続発するのは一体なぜなのでしょうか?
「情報漏洩」と聞くと、真っ先に「外部の犯罪組織やハッカーがマルウェアを使って攻撃を仕掛けてくる」というイメージを持たれる方が多いでしょう。事実、多くの企業でもマルウェアからの防御がセキュリティ対策の中心になっています。しかし、これらはあくまでも外部からの攻撃や侵入を想定したものであり、内部の人間が悪意を持って情報を持ち出すリスクに対してはほぼ無力なのです。
外部からの攻撃を想定した対策は、ネットワーク上を流れるデータを解析して、不正な侵入やデータ持ち出しの動きを検知することで情報漏洩を防ぎます。しかし内部の人間による持ち出しは、必ずしもネットワークを経由するとは限りません。少なくともインターネットは経由しないため、ネットワークに仕掛けるセキュリティ対策の多くは回避できてしまいます。
もしマシンに直接ログインしてデータを抜かれてしまえば、ほぼお手上げ状態です。しかもこうしたケースの多くでは、不正な方法を使ってマシンに侵入するのではなく、正規のIDとパスワードを使ってシステムにログインしますから、余計に不正が発覚しにくいのです。
先ほどの大手教育関連会社のケースでは、不正に持ち出された個人情報が闇ルートで売買されている実態も浮き彫りになりました。そうした背景を考えると、これらの事件は決して対岸の火事ではなく、それどころか「自社でもかなりの確率で情報が流出しているかもしれない」と考えた方が現実的なのかもしれません。
ファイルが持ち出されても情報漏洩を防げる対策が不可欠
では、こうした内部犯行による情報漏洩を、何とか防ぐ方法はないのでしょうか?データ管理体制の強化やセキュリティ教育の徹底など、リスクを低減させるためにできることはさまざまあります。しかし、不正な情報持ち出しを100%完全に防ぐのは容易ではありません。なぜなら、セキュリティ対策はシステムの利便性と常に相反する関係にあるからです。
セキュリティを強化するために、データに対する従業員のアクセスをあまりに制限してしまうと、システムの利便性は低下し、ひいては業務の生産性自体が大きく落ちてしまいます。唯一、不正持ち出しを100%防ぐ方法があるとしたら、「従業員に一切データを触らせない」ことしかありませんが、それではそもそも何のためにシステムを導入したのか分かりません。かといって、野放しにしてしまえばそれこそ「漏れ放題」です。セキュリティ対策は、このあたりのバランスの取り方が実に難しいのです。
そこで、内部犯行のリスクに対処するためには、これまでの発想を転換する必要があるでしょう。つまり、絶対に漏れないようにすることを目指すのではなく、「どれだけ対策を打っても、結局は漏洩リスクをゼロにすることはできない。であれば、仮に漏洩があったとしても大丈夫なようにしておけばいい」という考え方に、頭を切り替えるのです。具体的には、たとえ社外にファイルデータが持ち出されたとしても、そのファイルの中身が読み出せないようにしてあればいいわけです。
こうした対策を実現するために用いられる技術が、「ファイル暗号化」です。重要なファイルデータには、すべてあらかじめ暗号化を施しておきます。そして、このファイルにアクセスする権限を持つ者だけが、これを復号して中身を読めるようにしておくのです。こうした対策を施しておけば、たとえファイルが不正に持ち出されたとしても、アクセス権限がない者は暗号化を解けないので、たとえファイルが手許にあってもその中身を読むことはできず、情報は漏洩しないというわけです。
さらには、持ち出されたファイルがいつ、誰によってどんな使われ方がされたか追跡できたり、リアルタイムで閲覧権限を変更できたり、不正な持ち出しが発覚した際にそのファイルを削除できれば便利です。このような従来はほぼ不可能だった個別のファイルごとにきめ細かなアクセス制御が可能になったのが「FinalCode」です。
詳細は製品紹介ページをご確認ください。
<「FinalCode」製品担当:本澤>