改めて「情報漏洩対策」を検証する

2015.6.25

組織が保有する顧客情報や重要な社内情報の大規模な漏洩が続いています。情報漏洩が発生すると、売上喪失や対応コスト、賠償責任の発生に加え、信用失墜により将来に渡る不利益が生じることもあります。そこで本稿ではコンサルタントの立場から、コンサル現場で指摘することが多い点を交えつつ、情報漏洩対策を講じる上での基本的なポイントについて紹介します。

まず、①予防、②検出、③対応の3つの観点を検討します。これは、①可能な限り予防対策を講じた上で、②漏洩の兆候や発生をすぐに分かるようにしておき、③漏洩による被害の拡大を防ぐ、という3段構えで平常時から漏洩発生時の対応までの対策を講じるという考え方です。

コンサル現場で、「予防には注力するものの、検出および対応が不十分なケース」によく出会います。サイバー攻撃のように、高度な技術を持った悪意ある第三者からの攻撃や、内部者による不正な情報窃取の予防には少なからず限界があります。「完全なる予防は無し」との認識に立ち、検出と対応についても、予防同様にきちんと対策を講じていただきたいと思います。

次に、①～③を実現する具体的な対策を検討しますが、物理的・技術的・人的対策の3つの視点で捉えます。物理的対策とは施設内外に物理的な壁や機器を設置することであり、技術的対策とはネットワークやシステムツールによる対策のことです。人的対策とは情報管理に関する体制や規程・ルールの整備・運用です。①予防、②検出、③対応、それぞれに対して下記例のように、物理的・技術的・人的対策を組み合わせて対策を検討します。

＜例＞
①予防－物理的対策：IDカードでの入退館管理、技術的対策：USBメモリ使用制限
②検出－技術的対策：サーバの侵入検知システム、人的対策：情報の外部送信時のダブルチェック
③対応－物理的対策：警報装置、人的対策：漏洩時の緊急連絡体制　など

なお、一般的に物理的対策は総務部、技術的対策はIT部門が担当し、人的対策は情報の種類に応じて総務やIT部門、人事、法務、調達など複数の管理部門が担当するかと思いますが、「相互に連携せず部門独自に対策を推進しているケース」によく出会います。これでは対策が重複し現場に無駄な負担を強いることになったり、対策に隙が出たり、効果が限られるなど非効率といえます。是非とも横断的なセキュリティ組織を設置し、連携のとれた対策を実施していただきたいと思います。

最後に、これらの対策が本当に機能するか、周知徹底されているかといった有効性の検証と見直しが必要です。これは現場のセルフチェックに任せるだけでなく、セキュリティ所管部署や監査部門などがヒアリングや実査等を行うことを推奨します。また標的型攻撃メール訓練のような外部攻撃からの対応訓練や、漏洩発生後の対応訓練は非常に有効です。

最近増加しているのが、「対策が不十分な組織が狙われ、組織本体の情報が漏洩するケース」です。本社はしっかりしているものの、拠点や関連会社に不備がある状況はよくあります。組織内ネットワークが繋がる全組織を対象に対策および検証を実施していただきたいと思います。

以上、基本的なポイントを記載しましたが、冒頭に述べたように、情報漏洩は実際に多くの組織で発生しており他人事ではありません。是非とも自らの情報漏洩対策の状況を検証し、適切な対策を講じていただきたいと思います。

以上