ホーム > セキュリティートレンド > 組織内部からの情報漏えい対策

組織内部からの情報漏えい対策 無策のままでは明日は我が身!内部犯罪を抑止するための2つの対策とは?

組織内部からの情報漏えい対策

公開された事件は氷山の一角。情報漏えい事件の対処の実態とは?

まだ記憶に新しい2014年の大手通信教育事業者の顧客情報漏えい事件。業務委託先のエンジニアが、約3504万件の顧客情報を外部に不正に持ち出して売却、事業者側は対象となった顧客への補償として、500円分の金券を配るという対応を余儀なくされました(現在も被害者の会による集団訴訟が継続中)。

情報漏えい事件発生時に、情報を公開するかどうか

出典 経営者、管理者を対象としたIPAのアンケート調査より

事件を起こしたエンジニアによると、顧客情報が保存されたコンピューターにスマートフォンを接続して充電をしていた時に、内部データーのコピーを試してみたら、セキュリティー上なんの制約も受けることなく操作可能だったため、その後、継続的に情報の持ち出しを行ったと言われています。

この事件は、社会的に有名な大企業での情報漏えいということで、連日様々なメディアで報道されましたが、実は内部犯行による事件の多くは、"自社の信用に関わる" "風評被害が発生する恐れがある"といった企業側の思惑で公表されません。

実際に内部犯行が起こった時、組織を挙げてコンプライアンス強化に取り組んでいる大企業では、その事実を公表するという方向に動きますが、コンプライアンスに対して意識の薄い企業では、事件を隠ぺいすることを選択してしまいます。結果、内部犯行は組織内部で処理されることになり、社外に公表されることはほとんどないのです。

メディアで報じられている大企業の事件だけを見て、"内部犯行は大企業だけが気を付ければいいこと"と考えるのは大きな間違いです。内部犯行による情報漏えいは"明日は我が身"の犯罪、自分事として考えることが必要です。

内部犯行は必ず起きるという前提で"不正のトライアングル"に対処する

ITシステムでの対策が可能

それでは内部犯行に対して、企業はどのような姿勢で臨めば良いのでしょうか。

人間が不正行為を働く際には、「動機」「機会」「正当化」という3つの要因が作用していると言われています。"不正のトライアングル"と呼ばれるもので、このうちのどれか1つが欠ければ、不正行為は防げます。

先のエンジニアにも、元々情報を持ち出そうという意図があったというよりも、たまたまコンピューターからスマートフォンへのデーターコピーがうまくいってしまったために、継続的な犯行を繰り返してしまったと言えます。

つまり犯人に"金銭に困っていた"という動機や、"自分の働きは正しく評価されていない"など、犯行を正当化する理由があったとしても、情報を持ち出す機会さえなければ、情報漏えいは防ぐことができるということです。

情報漏えい=個人情報だけではない。営業情報が狙われる理由とは?

一方、中堅中小企業の経営者の中には、自社には持ち出されて困るような情報はない、と考えている方も少なくないかもしれません。しかし、IPAの調査によれば、顧客情報/営業情報/開発情報といった競合優位性を確保するための情報が漏えいした時、その46.5%が国内の競合他社の手に渡っており、流出ルートの50.3%が中途退職者(正社員)による漏えいという報告があります。

つまり退職者が自社の情報を転職先に"手土産"として情報を持ち出しているという現状があり、また現職従業員による金銭を目的とした情報漏えいも、流出ルートの10.9%を占めているのです。

営業秘密の漏えい者 営業秘密の漏えい先

出典 経済産業省:「人材を通じた技術流出に関する調査研究報告書」を基にしたIPA作成資料

前述の大手通信教育事業者の事件だけでなく2014年に発生した数多くのセキュリティー事故から教訓として得られることは、内部犯行は必ず起きるという前提で対策をする必要があるということです。また犯罪者が狙うのは、何も機密情報だけでなく、どの企業にも等しく存在する顧客情報や営業情報が対象になることも、十分肝に銘じておく必要があるでしょう。

各種情報を保有する企業は、スキがあれば内部犯行は起こるもの、という立場に立ち、一刻も早く、自社が保有する情報の重要性を見つめ直して、情報セキュリティー対策を検討する必要があります。もはや"性善説"では、内部からの情報漏えいを防ぎ切ることはできません。

ITで可能な情報漏えい対策としての「残す」と「止める」

操作記録を全て残す 情報持ち出しを止める

組織内部からの情報漏えい対策としては、何よりも従業員のセキュリティー意識を高めるための教育が必要ですが、ITの観点からは協力企業を含む内部関係者の「故意」による情報持ち出しをいかに抑えるかが、最大のポイントとなります。

その際の視点は大きく2つで、1つめがシステムが操作された全ての記録を「残す」こと、そしてもう1つが内部からの情報持ち出しを「止める」ことです。

内部不正への気持ちが低下する対策

出典 IPA:組織内部者の不正行為によるインシデント調査 調査報告書

まず組織内部の全ての操作ログを収集/分析することで、内部関係者に"見られている"という意識を持たせ、さらに万一情報持ち出しの行為を行おうとした時にも、その操作がシステム的にできないようにしておくことが肝要です。

実際にIPAの調査によれば、最も抑止力効果が高いのは「社内システムの操作の証拠が残る」という対策で、従業員の54.2%が内部不正への気持ちが低下すると回答しております。次いで「顧客情報などの重要な情報にアクセスした人が監視される」という対策についても、37.5%の従業員が内部不正への気持ちが低下すると答えています。

前述の大手通信教育事業者の事例では、データー持ち出しのファイル操作ログが取得されておらず、十分な監視体制が採られていなかったと言われています。また、持ち出し行為のシステム的な制御に不備があり、Windowsがサポートする携帯機器(=Windows Portable Device:WPD)に特有のファイル転送方式(MTP/PTP)の使用制限が漏れていたことも指摘されています。

つまり「残す」と「止める」の対策が十分に施されていれば、この情報漏えい事件は発生していなかった可能性が非常に高いと言えるのです。

「残す」と「止める」を実現する富士ゼロックスのソリューション

あらゆる証拠を「残す」ため、また内部からの情報の持ち出しを「止める」ためのシステム面での対策として考えられるのが、「記録」「制御」という2つの項目です。富士ゼロックスでは、各々の項目に対応したソリューションをご提供しています。

IT資産管理サービスで、操作ログを「記録」

主な取得可能なログ ファイルの操作ログを記録

まず「記録」については「誰が、いつ、どのファイルに対して、どんな操作を行っているのか」を把握し、管理することがポイントになります。

富士ゼロックスが提供する「IT資産管理サービス」では、特別な機器の導入や設定を行うことなく、ご利用中のパソコンにエージェントをインストールするだけで、ファイル操作のログをクラウド上に「記録」することができるようになります。また「記録」したファイル操作ログを"ファイル名に含まれるキーワード"で簡単に探すことも可能です。

モバイルあんしんマネジメントサービスで、持ち出しの機会を「制御」

USB、スマートフォン、SDカードなどの利用制御 デバイスごとに使用許可設定が可能

次に「制御」については、USB、スマートフォン、SDカードなどの外部記憶媒体の利用を制限することがポイントとなります。

富士ゼロックスが提供する「モバイルあんしんマネジメントサービス」では、スマートフォン等の外部記憶媒体の使用の制御機能はもちろんのこと、"会社が指定するデバイスについては継続的に利用を許可する"といった対応を採ることも可能です。

ご参考までに先の事例で問題となったWPDについて、モバイルあんしんマネジメントサービスでは通信プロトコルの制御ではなく、USBポート(差し込み口)でシャットアウトすることで対応しており、今後さらに多種多様なデバイスが増えた場合でも安心です。

富士ゼロックスは、お客様の情報漏えい対策を強力に支援する「残す」「止める」のソリューションをワンストップでご提供します

IT資産管理サービス、モバイルあんしんマネジメントサービスに関するお問い合わせはこちら

お問い合わせ