2010年3月
個人情報保護法施行から6年が経過し、金融機関をはじめ多くの企業が情報漏えい対策に取り組んでいます。しかし、情報漏えいの発生件数は未だに減少していません。また、経済状況の悪化などから新たな情報漏えいリスクも出てきています。
このような新たな漏えいリスクに対し、守るべき対象である"情報"に着目した対策が注目を集めています。
情報漏えいの原因を見ると、以前から多く発生しているメディアの紛失やPCの盗難、社員の誤操作などは未だに後を絶つことがありません。一方、経済状況が悪化した2008年末頃から件数は少ないものの増加している漏えい原因があります。それは"社員(有権限者)による不正持ち出し"です。
不正持ち出しが発生した場合、紛失や盗難などの過失の場合に比べて流出量が多いため、損害額も大きくなり、企業の信用にも非常に大きな影響を与えるのが特長といえます。
情報漏えい対策で守るべきものは、"個人情報や企業の機密情報といった情報"そのものです。もう少し具体的に言えば"個人情報や機密情報を含んだファイル"です。本来守るべきものが"情報(ファイル)"であるならば、"情報(ファイル)"毎に持ち出しの可否を判断し、制御することによって重要な情報の漏えいを防ぐということが、新しい考え方のひとつとなっています。
情報(ファイル)単位の持ち出しを判断する方法としては、持ち出して良い情報を決めて判断する方法と持ち出してはいけない情報を決めて判断する方法が考えられます。
それぞれの考え方を取り入れているのが、持出制御ソフトウェアとDLP(Data Loss Prevention あるいは Data Leak Prevention:「情報漏えい防止」という意味)という分野のソフトウェアです。
持出制御ソフトウェアは、国内でも多くの金融機関で利用されています。持出制御ソフトウェアは、クライアントPCからの持ち出しを一切禁止する環境を作り出し、業務で持ち出しが必要な際に、ユーザ単位に持ち出し許可を与えて運用するのが一般的ですが、ファイル単位での持ち出し制御も実現しています。そのため、持ち出すファイルを上長(管理者)に申請し、持ち出しが許可されたファイルのみ持ち出すことができるという運用が実現できます。許可を得ていないファイルは持ち出すことができないため、高い安全性を確保できます。
DLPは主に欧米で実績のあるソフトウェアで、国内では2008年頃から普及しはじめたものです。DLPが情報を保護する仕組みは、予め持出禁止ファイルとして個人情報や機密情報を含んだファイルを登録することで、そのファイルと同一のファイル、派生ファイル(ファイルをコピーして部分的に修正したファイル)、類似ファイル(部分的に情報をコピーしたファイル)の持ち出しを制限することが可能になります。それ以外の一般情報と判断されたファイルは常に持ち出しでき、セキュリティだけでなく業務効率性も考慮したものとなっています。
このように、持出制御ソフトウェアとDLPはいずれもファイル単位の持ち出しを制御可能にしますが、その違いは、持出制御ソフトウェアは「持ち出して良いファイルを上長の許可」で決めていくホワイトリスト方式の考え方、DLPは「持ち出してはいけないファイルを定義」するブラックリスト方式の考え方と言い換えるとそれぞれの特長をつかめると思います。
先に説明したように、ホワイトリスト方式とブラックリスト方式は運用方式の違いがあります。重要情報が特定できない場合や持ち出し頻度が少ない場合は持出制御ソフトウェア、重要情報がある程度特定できている場合や持ち出し頻度が多い場合はDLPが運用に適合するといえます。導入を検討する際には、運用方式の違いや求められるセキュリティ強度などを考慮する必要があります。
重要な情報は、社内の関係者(有権限者)であっても、やはり安易に持ち出させないことが一番のリスク対策であると考えます。そして、お客さまの個人情報や企業の機密情報をきちんと守るその手段として、今回ご紹介した「情報(ファイル)毎での持ち出しを判断していく」ということが必要なのではないでしょうか。
日立では、持出制御ソフトウェアとして情報漏えい防止ソリューション「秘文(*1)」とファイル単位の持ち出し制御を実現するコンテンツ承認基盤「ContentsGate(*2)」や、DLPに対応した「Trend Micro Data Loss Prevention(*3)」をご提供いたします。また、セキュリティコンサルテーションなどのさまざまなメニューをご用意し、金融機関のニーズに対応させていただきます。さらなるセキュリティ強化をご検討の際は、ぜひご連絡下さい。
