1. 情報セキュリティブログ ホーム
  2. 月イチIT総括
  3. 情報漏えい対策の難しさ?内部セキュリティ強化の課題とは?

情報漏えい対策の難しさ?内部セキュリティ強化の課題とは?


3月、DM作成の業務委託の際に預かった800万件以上の個人情報が流出した大日本印刷の事件で、「プライバシーマーク」の認定を行う(財)日本情報処理開発協会(JIPDEC)は、改善要請の処分を決定しました。これは、認定取消に次ぐ重さの処分ということです。

プライバシーマーク認定のJIPDEC、大日本印刷に「改善要請」処分(INTERNET Watch)

情報漏えいは、同社の作業委託先に勤務していた元社員が、データを不正に記憶媒体に書き出し、社外に持ち出したもの。2月に個人情報約15万件が流出したと発表していましたが、その後の社内調査で更なる流出が判明したとのことで、この元社員は、金に困ってインターネット通販詐欺グループにデータを売り渡していたそうです。

大日本印刷、DM作成のために預かった43社の個人情報864万件が流出(CNET Japan)
DNPから個人情報863万件以上が流出、「悪意を持った内部者」への管理が不十分(ITmedia)

流出した個人情報の件数の多さもさることながら、驚くべきはプライバシーマークを取得し、きちんとセキュリティ対策を行っているはずの企業から個人情報が流出したという事実です。

上記ITmediaの記事によれば、大日本印刷では以下のようなセキュリティ対策を実施していたそうです。

 大日本印刷では2000年8月以降、プライバシーマークの取得のほか、電算処理室への監視カメラ導入、生体認証による入退室管理の導入、アクセスログの取得といった措置を講じてきた。しかし、「今回のような、悪意を持った内部者による不正な記憶媒体へのデータ書き出し行為を防止する上で、結果として管理に不十分な面があった」と同社はリリースの中で述べている。

すなわち、物理的な入退室管理と監視カメラ、あとはアクセスログの取得などだそうですが、問題は「正規の権限を持った人間の行為」までは防止しきれなかったという点です。

情報漏えいなど、企業におけるセキュリティリスクの大半は企業内で働く従業員によるものであると言われています。

例えば、業務で使っているノートパソコンを社外に持ち出して紛失してしまったり、ウイルスに感染した私用のパソコンを会社に持ち込み、社内ネットワークを通じて蔓延させてしまったりといった事件や、業務の続きを自宅で行うために、機密データを記憶媒体にコピーし、その結果、情報を漏洩してしまったりする事件は、数多く報告されています。

こうした情報漏えいのきっかけは、悪意のあるなしに関わりません。また、特に顧客情報を扱うようなIT系の会社であれば、その業務の性質上、作業を受託した関連会社などの様々な社員が「企業内の人間」として出入りするということもあるでしょう。

終身雇用制度が崩れ、人材流動性が高い昨今の雇用事情を考えると、どうしてもコンプライアンスリスクは高くなります

一般的に、企業内のセキュリティを高める対策としては、以下のようなものがあります。

 ・セキュリティポリシー策定
 ・ID/パスワード認証強化
 ・本人認証デバイス導入
 ・属性によるアクセス制御
 ・ファイル暗号化
 ・ファイル利用権限管理
 ・物理的なセキュリティ

一方で、こうした対策を進める上での課題は、「従業員へのセキュリティ・リテラシー教育/啓蒙」にあることが、今回の事件を通じて改めて浮き彫りになったのではないでしょうか。

すなわち、「正規の権限を持った人間による内部犯」「作業委託先という外部の人間による"内部犯"」という難しい問題です。

 同社では、一連の対策は抑止力としては働いたかもしれないが、権限を持ったユーザーの行為までは防止できなかったとし、今後の管理体制強化につなげていく考えだ。具体的には、USBメモリやCD-Rといった記憶媒体への書き出しを許可する対象を社員のみに限定し、人数も少数化。書き出しログのチェック頻度を高めるほか、書き出しを行う場所を物理的に分離し、ほかのユーザーはいっさい踏み込めないようにする計画という。また将来的には、一連の作業をネットワークを介して行う形とし、記憶媒体への書き出しをいっさい禁止することも検討していく。

急速にIT化が進み、今や、情報セキュリティが脅かされることは、企業の社会的信用を一瞬にして崩壊させてしまう危険性をはらんでいます。

大量の情報が、小さな記憶媒体に保存できてどこにでも運べてしまう今、企業は、企業にとってのセキュリティ上の脅威は「いつでも」「どこででも」起こりうることを自覚し、対応していくことが求められているでしょう。

関連キーワード:

コンプライアンス

セキュリティポリシー

  • セキュリティ対策の「ひとくちメモ」公開
  • カテゴリートップへ
  • 検疫ネットワークとは