ハンモック ホーム

株式会社ハンモックは、IT資産管理、情報漏洩対策、名刺管理、営業支援、
データエントリー業務の効率化を実現する法人向けソフトウェアメーカーです。


PC管理、セキュリティ対策コラム - Vol.7

内部不正による情報漏洩を防ぐPCセキュリティソフトとは?

情報漏洩はインターネット経由で起きるとは限らない

SecurityITの発達によって人間は多くの単純作業から解放されてきましたが、それと同時に拡大・顕在化してきたのが、PC(パソコン)のセキュリティ問題、特に情報漏洩のリスクです。
2016年には日本国内で報道された範囲だけでも、約470件のインシデントにより1400万人分の個人情報が漏洩したとされています。中には紙媒体ではありえない100万件以上の大規模な漏洩もあり、過去には対象者への補償金だけで200億円を要したケースもあります。
たった1本のUSBメモリや1通の電子メールで、紙媒体ではありえない大量の情報漏洩を引き起こしうるIT時代のリスクへの対策は、現代の企業経営において不可欠です。
具体的な情報漏洩の経路は、大まかにインターネットを経由するものと、それ以外の2つにわかれます。前者、インターネット経由の情報漏洩は、サイバーセキュリティや標的型攻撃対策と呼ばれる分野です。本コラムでは後者、インターネットに接続していないPC単独でも起こりうる情報漏洩の種類と、そのセキュリティツール・ソフトの導入などを含めた対策について記します。


内部不正によるPCの悪用を防ぐセキュリティが、情報漏洩対策の
基本となる

個人情報流出事件には、インターネットに接続していないPCであっても、USBメモリなどを介して漏洩するケースがあります。
詳しくは後に触れますが、インターネットを経由しない内部不正によるPCの悪用を防ぐことは情報漏洩対策の基本であり、インターネット経由の情報漏洩対策としても役に立ちます。


インターネットを経由しない情報漏洩対策の4つのポイント

実際の情報漏洩は、どのようにして起こり、どうすれば防げるのでしょうか?
ここでポイントになるのは、「情報そのもの」、「情報に対する操作」、「持ち出し手段」、「実行者」という4つの要素です。

【セキュリティの基本、不要な情報を持たない】

「情報そのもの」とは、住所氏名・電話番号・クレジットカード番号などの、盗むに値する個人/機密情報のことを言います。そもそもPCの中に情報が存在しなければ漏洩のしようがありません。

しかし、個人情報の管理体制が弱い会社では、「顧客名簿」や「問い合わせ履歴」といった名前のExcelファイルが、コピーも含めて社員一人一人の個人用PCに散らばって存在していることが少なくありません。

不要な情報をそもそも持たないようにすることがセキュリティ対策の基本ですが、そのためには、まずどのPCにどれだけの機密情報が存在するのかを把握する「情報の棚卸」をする必要があります。

【情報を扱う時には記録を取る】

「情報に対する操作」とは、ファイルのコピー、移動、名前変更、印刷、メール添付、Webフォーム送信などのPC操作全般を指します。

情報漏洩が起きる際はこれらのファイル操作をともなう場合が多いため、「個人情報/機密情報ファイルに関するこれらの操作を記録する」、あるいは「操作者に警告を発し、禁止する」ことができれば、故意/過失を問わず情報漏洩への抑止効果が期待できます。さらに、問題が発生した時の原因究明・影響調査にも役立ちます。

【情報の持ち出し手段を想定し、対策を打つ】

「持ち出し手段」とは、USBメモリ、SDメモリ、CD/DVD、スマートフォンなど、PCからの情報持ち出しに使える、持ち運べる記録媒体のことを指します。

小型で大容量データを収納できるこの種の媒体は、大量情報漏洩の経路となりやすいため、業務上個人情報を扱うPCにおいては、この種の可搬デバイスの使用禁止や読み取り専用にするなどの対策を取り、セキュリティ水準を上げる必要があります。

【内部不正に対しては心理的な牽制が効果的】

「実行者」とは、PCを通じて情報に触れることができる人間、多くの場合は従業員のことを指します。標的型攻撃のようにインターネット経由の遠隔操作により起きるタイプのものとは違い、PCセキュリティ対策では、故意にせよ過失にせよ、内部の人間の操作によって引き起こされる情報漏洩を想定する必要があります。

セキュリティ対策を充実させることによって、故意に情報を持ち出そうとする者に対してはその実行を困難にするだけでなく、犯行が露見する恐れを感じさせて牽制する効果があります。

過失に対しても、不注意で必要もないファイルをコピーする等の情報漏洩につながるようなミスが物理的に不可能になるだけでなく、日常的に機密情報を慎重に扱う意識を与え、「不注意」そのものを減らす効果が期待できます。


PCのセキュリティ対策を効果的に行うためには、これらの4要素を踏まえ、それぞれに適した方法を組み合わせなければなりません。


機密情報を外に出すときに役に立つ「暗号化」の新しいしくみとは?

情報漏洩の抑止を何よりも優先して考えるのであれば、個人使用のPCには一切情報を持たず、すべてサーバーに集約するのが一番安全ですが、現実にはそれでは業務が回らないケースはよくあります。

そこで一定の制限の元で、個人情報/機密情報の運用にある程度の自由度を許したい、という時に役立つ手法の1つに、暗号化があります。たとえば、個人情報を含むファイルをローカルのPCに保存した時、USBメモリに書き出した時、メールに添付した時などに自動的に暗号化が行われていれば、ファイルが流出しただけでは情報漏洩は起こらず、セキュリティ対策として有効です。

さらに現在では、暗号化したファイルへの閲覧ログを取ったり遠隔で削除したりできるツール・ソフトも存在します。このようなツール・ソフトがあれば暗号化したファイルを渡した先が異なる組織であっても、その操作に制限を加えることができ、流出した場合でも追跡/削除を通じて被害を減らすことが可能です。


PCのセキュリティ対策に役立つツール・ソフトとは?

PCからの情報漏洩を防ぐセキュリティ対策は、それぞれの目的に合ったツール・ソフトを組み合わせて構築します。具体的には下記のようなツール・ソフトがあります。

【個人情報検索ツール・ソフト】

PC内に放置されているファイルを検索して個人情報が含まれるものを洗い出し、どこにどんな個人情報が存在するかを「棚卸」することができます。

【PC操作ログ管理ツール・ソフト】

ファイルのコピー、移動、名前変更、印刷、メール添付、Web閲覧、Webフォーム送信など、PC操作全般のログを取ることができます。また、対象ファイルの種類に応じて禁止操作を設定して「個人情報をUSBメモリに書き込もうとしたら警告し禁止する」といった管理ができます。

【デバイス制御ツール・ソフト】

USBメモリ、SDカード、CD/DVD、Bluetoothなど、PCからのデータ持ち出しに使われるデバイスの使用に制限を与えます。デバイスのグループやユーザーごとの制限、申請による例外処置などの柔軟な運用が可能です。

【ファイル制御・暗号化ツール・ソフト】

機密情報の悪用を防ぐ対策として、ファイルの暗号化、閲覧やコピー操作の制限、アクセスログの取得、遠隔削除などを可能にします。


セキュリティだけの都合で作ったガチガチなルールは形骸化しやすく、かえって危険

セキュリティ対策を進めると、どうしても日常運用の利便性は犠牲になる傾向があります。

たとえば、「そもそもPCからUSBメモリへの書き込みを全面的に不可能にしてしまえば、それを経由した情報漏洩は起こらない」というのは、セキュリティだけを考えれば正しいでしょう。一方で、実際の業務では、著しく効率が落ちる場面もでてきます。

セキュリティ対策も人間が運用するものなので、あまりにも現場の実情にそぐわないルールは形骸化しやすく、たとえばセキュリティ管理者の裁量による例外処置が乱発されて、事実上抜け穴だらけになるケースが珍しくありません。


重要なのは情報漏洩に関わる要素をトータルにカバーするセキュリティ対策

本コラムのVol.5でもすでに触れたように、標的型攻撃と同様、PCからの情報漏洩も、「情報そのもの」から「実行者」までの複数の層で考えることができます。セキュリティ対策は、人間の運用というソフト面も含めてすべての層をトータルに考えて構築すべきであり、どこでどのような制限を設けるかは、各社各様の事情に合わせて柔軟に設計しなければなりません。

そのために重要なのは、個人情報検索やPC操作ログ管理などの複数のツール・ソフトが一貫した考え方で設計されていて、相互に連携が取れることです。たとえば、個人情報検索で個人情報をふくむファイルを確認したら、そのデータを使ってPC操作やファイル制御の管理もできれば運用が楽になります。すべてのツール・ソフトが統一的なユーザーインターフェースで作られていれば、管理方法の習得にも手間がかかりません。

特に個人情報検索は、標的型攻撃への対策にも関わる重要な要素であり、現状把握のためにまず真っ先に行うべきステップですが、それだけではセキュリティ対策として十分とは言えません。

まずはPC内の個人情報検索から行うにしても、将来的に他の要素への対策も拡充していくことを見据え、トータルコストも考慮に入れて、セキュリティツール・ソフトを選択していくことが望まれます。


『AssetView』は、ITのセキュリティ対策にお役立ていただける
各種機能が揃ったIT統合管理ソフトウェアです。
セキュリティ対策をお考えの際は、ぜひお気軽にお問い合わせください。


AssetView の資料ダウンロード、お問い合わせはこちら

自社導入の方向け 資料請求販売店の方向け 資料請求お問い合わせ

内部不正による情報漏洩を防ぐPCセキュリティソフトとは?|IT資産管理ソフトウェア『AssetView(アセットビュー)』

ITの発達によって人間は多くの単純作業から解放されてきましたが、それと同時に拡大・顕在化してきたのが、PC(パソコン)の今すぐ資料DL【無料】
IT資産管理、ログ管理などのIT統合管理ソフトウェア『AssetView』はPCのセキュリティ対策や情報漏洩対策を強化し、業務効率化やPCのライフサイクル管理を支援します。 IT管理スタイルの数だけ、変幻自在。必要な機能やサービスをオーダーメイド感覚でご提供します。 多彩な機能から必要なもののみを選んで導入することができ、それぞれが安価なためコスト削減を実現します。

イベント情報

イベント情報

イベント情報

コラム

アービーのご紹介

メールマガジン

ページ先頭へ

gray
<内部不正による情報漏洩を防ぐPCセキュリティソフトとは? - AssetView>
法人向けソフトウェアメーカー【ハンモック】のWebサイトをご覧のみなさま

株式会社ハンモックは、IT資産管理、情報漏洩対策、名刺管理、営業支援、データエントリー業務の効率化を実現する法人向けソフトウェアメーカーです。パッケージソフトウェアおよびその組み合わせによるソリューションを、目的別、悩み別にご提案します。実際に導入した企業様の事例もご紹介。オフィスの業務効率化をハンモックがサポートいたします。
法人向けソフトウェアメーカー
株式会社ハンモック
マイナンバー  プライバシーマーク  ISO
ハンモック ホーム | 個人情報保護方針について | 情報セキュリティ基本方針および特定個人情報保護基本方針について | 本Webサイトについて | お問い合わせ | サイトマップ
株式会社ハンモック © 2018 Hammock Corporation