情報漏えい対策のためにはこれまで多くのソリューションが提案されてきました。例えば、以下のようなものが代表的でしょう。

  • Webサーバなどのサーバへのハッカーからの攻撃から守る
  • 個々のパソコンがウイルスに感染しないための対策
  • USBメモリーなどの外部記憶媒体を使えなくする
  • 外部記憶媒体の暗号化
  • ファイルが送信できるサイトの閲覧制限
  • シンクライアントや擬似シンクライアント

 さらに、ログという観点からは、以下のような対策も有効とされています。

  • ファイルへのアクセスの記録
  • 外部サイトへのアクセスの記録

 その他にも新しい技術としては、機密情報が含まれるファイルを組織内のあらゆる場所で管理するために、ファイルのハッシュ値(ファイルを一意に特定できる情報)を取ったり、単語の出現順序や頻度などを監視したりするようなシステムも実用化のレベルになってきたようです。

 これらのシステムは、他社で起きた事件、自社で起きた事件、認証取得のため、などのその時々のニーズで導入が進められてきました。

 さて、情報漏えい対策を起こすヒトについて考えてみましょう。

  • うっかり外部記憶媒体やノートPCを紛失する
  • ルールを知っていながら意図的に善意で持ち出して業務を遂行しようとする
  • 外部への漏洩を意図した悪意を持つ

 これらのうちで、悪意の情報漏えいについては、「考えたくない」「本気の情報漏えいは防げないよね」などの考えから本格的には取り組まれないできました。一部、コールセンターなどの限定された場所では「アクセスを必要最小限以外は禁止する」「全てのアクセスや操作を記録する」などの要塞化が行われています。

 しかし、現実にはシステム管理者やシステム管理者に指示できる組織の管理職、バックアップを担当するオペレータなどが「本気」になれば、情報漏えいは大規模かつ発覚せずに実行されてしまう可能性を秘めています。

 今回、組織内の悪意の管理職が情報漏えいを起こした証券会社に対する業務改善命令が出されました。しかし、悪意を持った情報漏洩への対策には非常に高いレベルの情報セキュリティのスキルが要求されます。なぜ非常に高いレベルのスキルが必要なのか、というと、「仕事ができなくなってはいけない」「コストには限りがある」からです。

この先は会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら