[コラム] 情報漏洩の技術的対策について−第4回情報セキュリティEXPOより−

出展:みずほ情報総研ホームページ（http://www.mizuho-ir.co.jp/）「コラム／みずほ情報総研（株）　情報・コミュニケーション部　山田 大輔　２００７年５月２９日付」より


去る2007年5月16日から18日にかけて、リードエグジビションジャパン株式会社主催の第4回情報セキュリティEXPOが、東京ビッグサイトで開催された。このイベントは情報セキュリティ対策のあらゆる製品が一堂に集まる専門展で、多数のユーザーが製品の導入・検討・調査などを目的に来場し、例年を上回る盛り上がりを見せた。


会場は、ドキュメントセキュリティ、バイオメトリクス認証、検疫ソリューション、メールセキュリティ、フォレンジック、次世代ネットワークなどの領域に分かれ、各ブースでは多数の新製品・新技術の発表や、それぞれの課題をもったユーザーとの技術相談や具体的な商談が行われた。出展していたいずれの企業も、情報セキュリティに関わる製品を提供するという立場上、「情報をいかにして守るか？」という問題に対するソリューションをそれぞれの視点から与えていた。本稿では、近年話題になっている個人情報漏洩への対策に焦点をあてて論ずる。


近年の情報技術の発展は非常に目覚しく、ビジネスはより円滑なものとなった。企業は顧客から集めた多種多量の電子化されたデータを管理することにより、状況に応じてそれらを利用することが出来る。情報の電子化によりビジネスはより円滑なものとなった反面、大事な顧客データがいとも簡単にコピーされてしまうため、ネットワークを通じて外部に大量のデータが一瞬にして流出してしまうなどの危険性がある。このような状況を背景に、政府は誰もが安心してIT社会の便益を享受するための制度的基盤として、個人情報保護法を平成17年4月から全面施行している。この法律は、個人情報の有用性に配慮しながら、個人の権利利益を保護することを目的として、一定量の個人情報を扱う組織が個人情報を取り扱う上でのルールを定めている。以下、情報漏洩の例とその対策のためのソリューションを紹介する。


■事例1:紙文書からの情報漏洩を防ぐ「認証印刷」
情報漏洩は電子化されたデータに限らず、印刷した紙ベースの情報からも起こる。組織内でのネットワーク上に流れるデータに関するセキュリティ意識と比較すると、ともすれば紙文書レベルでのセキュリティ意識が旧来のままであるためか、情報漏洩の大半はこうした紙文書の管理が不十分であることに起因するといわれている。

紙文書印刷時のセキュリティ管理のためのソリューションとして、「認証印刷」というものが存在する。具体的には、パソコンで印刷指示を出した後にプリンタ前まで移動し、プリンタに付属されたICカードリーダーに自分の社員証を接触させるとプリンタから自分の印刷物がプリントアウトされる仕組みである。これにより、顧客情報や給与明細など、たとえ組織内であっても、関係者以外の人間に見られてはいけない情報を含むドキュメントを印刷する際に、盗み見られたり取り間違えられたりする危険性が低減される。

展示会において、ある企業はデジタル複合機（多機能プリンタ）にバイオメトリクス認証あるいはID・パスワードを利用した利用権限の設定、ユーザー毎の出力上限枚数の設定、個人BOXの設定など総合的な文書管理を提案していた。また別の企業は、印刷監視システムによりドキュメントセキュリティの向上を実現することを提案していた。

■事例2：Webアクセス時の情報管理
情報セキュリティの脅威が遍在していることは既に常識としてよいだろう。特に情報漏洩の大半は内部犯行によるものであるといわれている。よって、内部の管理・監視体制を強化するだけでなく、監視していることの告知等により、内部の人員に不正がないか常に監視しているぞという、無言の抑制力を機能させることが必要になることもある。

もちろん、無言の抑制力だけでなく、ITによる内部統制も必要であり、特にWebアクセス時の情報管理が重要になる。というのは、Web経由でのファイル送信、掲示板への書き込み、Webメールの送信などで情報漏洩する危険性があるからだ。したがって、組織内のルールを明確化した上での技術的対策として、Webアクセス時のログの採取・記録・保存、Web経由で送受信される情報の監視とURLフィルタリング機能を利用したアクセス制御による情報保護が求められる。いくつかの出展社が、ネットワークフォレンジック対応のアプリケーションを出品していた。

個人情報の流出や情報漏洩は、実際に起こって社会に影響がでてから初めて気がつくことも少なくない。覆水盆に帰らずとはまさにこのことで、これにより組織は社会的信用の失墜のみならず、組織自体が多大な損害を被る恐れがある。よって、内部の管理・監視体制の構築は、組織のセキュリティ問題におけるトラブルの予防になるため、真剣に取り組んでいく必要があるだろう。

では具体的に何をすればよいのだろうか？情報セキュリティ対策を施したIT製品を導入するのも一策である。ただし、導入する際にはその組織の規模に見合ったものを導入すべきである。なぜなら高価で多機能のものを導入しても、それを使いこなせなければ割に合わないからだ。また組織内部におけるセキュリティポリシーを確立し、情報セキュリティ対策用のIT機器を運用するための内部体制を整備することも必要だ。なぜなら、機器を導入しても、それを使って組織内部で不正が行われていないかどうかを最終的に判断するのは人間であるからだ。

とはいえ組織内での強引な指導や瑣末な部分にいたる管理体制が本来の業務を圧迫してしまい、その結果その組織の成長を妨げる危険性がないわけではない。事細かな規則や管理体制に縛られた従業員への負担を軽減することも今後重要な課題となるだろう。