情報漏洩はインターネット経由で起きるとは限らない

ITの発達によって人間は多くの単純作業から解放されてきましたが、それと同時に拡大・顕在化してきたのが、PC（パソコン）のセキュリティ問題、特に情報漏洩のリスクです。

2016年には日本国内で報道された範囲だけでも、約470件のインシデントにより1400万人分の個人情報が漏洩したとされています。中には紙媒体ではありえない100万件以上の大規模な漏洩もあり、過去には対象者への補償金だけで200億円を要したケースもあります。

たった1本のUSBメモリや1通の電子メールで、紙媒体ではありえない大量の情報漏洩を引き起こしうるIT時代のリスクへのセキュリティ対策は、現代の企業経営において不可欠です。

具体的な情報漏洩の経路は、大まかにインターネットを経由するものと、それ以外の2つにわかれます。前者、インターネット経由の情報漏洩は、サイバーセキュリティや標的型攻撃対策と呼ばれる分野です。本コラムでは後者、インターネットに接続していないPC単独でも起こりうる情報漏洩の種類と、そのセキュリティツール・ソフトの導入などを含めたセキュリティ対策について記します。

内部不正によるPCの悪用を防ぐセキュリティが、情報漏洩対策の基本となる

個人情報流出事件には、インターネットに接続していないPCであっても、USBメモリなどを介して漏洩するケースがあります。

詳しくは後に触れますが、インターネットを経由しない内部不正によるPCの悪用を防ぐことは情報漏洩対策の基本であり、インターネット経由の情報漏洩対策としても役に立ちます。

インターネットを経由しない情報漏洩対策の4つのポイント

実際の情報漏洩は、どのようにして起こり、どのようにセキュリティ対策をすればよいのでしょうか？

ここでポイントになるのは、「情報そのもの」、「情報に対する操作」、「持ち出し手段」、「実行者」という4つの要素です。

セキュリティ対策の基本、不要な情報を持たない

「情報そのもの」とは、住所氏名・電話番号・クレジットカード番号などの、盗むに値する個人／機密情報のことを言います。そもそもPCの中に情報が存在しなければ漏洩のしようがありません。

しかし、個人情報の管理体制が弱い会社では、「顧客名簿」や「問い合わせ履歴」といった名前のExcelファイルが、コピーも含めて社員一人一人の個人用PCに散らばって存在していることが少なくありません。

不要な情報をそもそも持たないようにすることがセキュリティ対策の基本ですが、そのためには、まずどのPCにどれだけの機密情報が存在するのかを把握する「情報の棚卸」をする必要があります。

情報を扱う時には記録を取る

「情報に対する操作」とは、ファイルのコピー、移動、名前変更、印刷、メール添付、Webフォーム送信などのPC操作全般を指します。

情報漏洩が起きる際はこれらのファイル操作をともなう場合が多いため、セキュリティソフトなどを使用し「個人情報／機密情報ファイルに関するこれらの操作を記録する」、あるいは「操作者に警告を発し、禁止する」ことができれば、故意／過失を問わず情報漏洩への抑止効果が期待できます。さらに、問題が発生した時の原因究明・影響調査にも役立ちます。

情報の持ち出し手段を想定し、セキュリティ対策を打つ

「持ち出し手段」とは、USBメモリ、SDメモリ、CD/DVD、スマートフォンなど、PCからの情報持ち出しに使える、持ち運べる記録媒体のことを指します。

小型で大容量データを収納できるこの種の媒体は、大量情報漏洩の経路となりやすいため、業務上個人情報を扱うPCにおいては、この種の可搬デバイスの使用禁止や読み取り専用にするなどの対策を取り、セキュリティ水準を上げる必要があります。

内部不正に対しては心理的な牽制が効果的

「実行者」とは、PCを通じて情報に触れることができる人間、多くの場合は従業員のことを指します。標的型攻撃のようにインターネット経由の遠隔操作により起きるタイプのものとは違い、PCセキュリティ対策では、故意にせよ過失にせよ、内部の人間の操作によって引き起こされる情報漏洩を想定する必要があります。

セキュリティ対策を充実させることによって、故意に情報を持ち出そうとする者に対してはその実行を困難にするだけでなく、犯行が露見する恐れを感じさせて牽制する効果があります。

過失に対しても、不注意で必要もないファイルをコピーする等の情報漏洩につながるようなミスが物理的に不可能になるだけでなく、日常的に機密情報を慎重に扱う意識を与え、「不注意」そのものを減らす効果が期待できます。

PCのセキュリティ対策を効果的に行うためには、これらの4要素を踏まえ、それぞれに適した方法を組み合わせなければなりません。

機密情報を外に出すときに役に立つ「暗号化」の新しいしくみとは？

情報漏洩の抑止を何よりも優先して考えるのであれば、個人使用のPCには一切情報を持たず、すべてサーバーに集約するのが一番安全ですが、現実にはそれでは業務が回らないケースはよくあります。

そこで一定の制限の元で、個人情報／機密情報の運用にある程度の自由度を許したい、という時に役立つ手法の1つに、暗号化があります。たとえば、個人情報を含むファイルをローカルのPCに保存した時、USBメモリに書き出した時、メールに添付した時などに自動的に暗号化が行われていれば、ファイルが流出しただけでは情報漏洩は起こらず、セキュリティ対策として有効です。

さらに現在では、暗号化したファイルへの閲覧ログを取ったり遠隔で削除したりできるツール・ソフトも存在します。このように暗号化したファイルを渡した先が異なる組織であっても、その操作に制限を加えることができ、流出した場合でも追跡／削除を通じて被害を減らすことが可能です。

PCのセキュリティ対策に役立つツール・ソフトとは？

PCからの情報漏洩を防ぐセキュリティ対策は、それぞれの目的に合ったツール・ソフトを組み合わせて構築します。具体的には下記のようなものがあります。

個人情報検索

個人情報検索『AssetView I』

PC操作ログ管理

ファイルのコピー、移動、名前変更、印刷、メール添付、Web閲覧、Webフォーム送信など、PC操作全般のログを取ることができます。また、対象ファイルの種類に応じて禁止操作を設定して「個人情報をUSBメモリに書き込もうとしたら警告し禁止する」といった管理ができます。

PC操作ログ管理『AssetView M』

デバイス制御

デバイス制御AssetView G』

ファイル制御・暗号化

機密情報の悪用を防ぐ対策として、ファイルの暗号化、閲覧やコピー操作の制限、アクセスログの取得、遠隔削除などを可能にします。

ファイル制御・暗号化『AssetView K』

セキュリティだけの都合で作ったガチガチなルールは形骸化しやすく、かえって危険

セキュリティ対策を進めると、どうしても日常運用の利便性は犠牲になる傾向があります。

たとえば、「そもそもPCからUSBメモリへの書き込みを全面的に不可能にしてしまえば、それを経由した情報漏洩は起こらない」というのは、セキュリティだけを考えれば正しいでしょう。一方で、実際の業務では、著しく効率が落ちる場面もでてきます。

セキュリティ対策も人間が運用するものなので、あまりにも現場の実状にそぐわないルールは形骸化しやすく、たとえばセキュリティ管理者の裁量による例外処置が乱発されて、事実上抜け穴だらけになるケースが珍しくありません。

内部不正および情報漏洩の対策を行わない場合のリスク・デメリット

続いて、内部不正および情報漏洩の対策を行わない場合のリスク・デメリットについてお話します。

内部不正や情報漏洩による金銭的な被害

内部不正や情報漏洩によって、個人情報や機密情報が流出することで金銭的な被害を受けるリスクがあります。個人情報であれば顧客ごとに金銭的な賠償を行わなくてはなりません。機密情報の内容によっては他社に知られてしまうことで何らかのアドバンテージを失うことにつながったり、将来的に得られるはずだった利益を得られなくなったりする可能性があります。

その他にも法に触れる形であれば、罰金を支払わなくてはなりません。同時に原因を調査するための時間、人員、人員のための賃金など、間接的に必要となるコストも発生します。また、社内や組織内にある独自の基幹システムやオンライン化されたシステムに問題があれば、システムを改修するための費用も必要となり、場合によっては改修・復旧の間に利益や売上が得られない可能性も考えられます。

内部不正や情報漏洩による社会的信用の失墜

当然のことながら、内部不正や情報漏洩による社会的信用の失墜は避けられません。企業や組織に対して信頼・信用があるからこそ安心して自分の個人情報を預けたのに、悪意のある第三者の手に渡ってしまうとすれば、誰でも信じられなくなるのは当然のことだからです。

また、サイバー攻撃による情報漏洩であれば「被害者」としての側面が強く、同情の余地もあるように感じられますが、内部不正の場合は「内部不正を起こさせるような体制」と厳しく断じられる可能性も高くなります。例えば、データや人材の管理が甘い、適切に監視されていない、他の従業員も同じことをするかもしれない、という形での不信感につながります。そのため、今回だけでなく、次も起こるかもしれないという不信感と不安から、同業他社・ライバル企業へ乗り換えられてしまう可能性も否めません。

内部不正や情報漏洩は従業員同士の不信感を招く

内部不正や情報漏洩は従業員同士の不信感を招きます。例え原因や実行者がすぐに特定できたとしても、同じ手法で他の従業員が内部不正や情報漏洩を行うかもしれないという気持ちは拭いきれません。また、雇用先に不満がある従業員がいれば、同じような手口で内部不正や情報漏洩を引き起こす可能性もあるでしょう。

従業員がセキュリティに対する不安感を持つ

従業員がセキュリティに対する不安感を持つのもリスク・デメリットと言えます。普段から使っているシステムや業務プロセス、作業手順の中に情報漏洩するかもしれないという危険性、もしくは内部不正によって悪用できる可能性があることに不安を感じても不思議はありません。知らぬ間に自分も加担するのではといった不安の連鎖が生じ、従業員のストレスは高まるでしょう。

また、従業員も自分自身の個人情報を雇用先に預けていることを考えると、何らかの形でそれらが漏洩する可能性があるとすれば、会社や組織上層を信用できなくなるのも当然と言えるでしょう。このように内部不正や情報漏洩の対策をしないというのは、データの流出という実際の被害だけではなく、さまざまな間接的なデメリットを引き起こすことにも留意しておく必要があります。

従業員の小さなミスが重大なセキュリティインシデントに

内部不正や情報漏洩の対策を行わない場合、従業員の小さなミスが重大なセキュリティインシデントになるというリスクがあります。例えば、従業員のマウスやキーボードの操作ミスでUSBメモリにデータをコピーしてしまい、同時にコピーしたデータが暗号化されていないとします。情報漏洩になる可能性が高い状況ですが、システム的にUSBメモリへのコピーが不可、もしくはコピーしたデータが暗号化される仕組みになっていれば、情報漏洩を防げる可能性が高まります。

実際にセキュリティインシデントになるケースの中には「本来ならありえないような小さなミス」から重大な問題に発展することもしばしばです。もちろん、初見であれば防げないもので、次からは対策をすれば済むケースもあります。しかしその最初の1回が大きな事故につながりかねないことを考えると、前もって内部不正や情報漏洩への対策をしておくことの重要性が理解できるのではないでしょうか。

システム的に内部不正や情報漏洩の対策を行うことのメリット

次に、システム的に内部不正や情報漏洩の対策を行うことのメリットについてお話します。

従業員がセキュリティを過度に意識せず、業務に集中できる

システム的に内部不正や情報漏洩の対策が行われて入れば、従業員がセキュリティを過度に意識せず、業務に集中できるようになります。間違ったらどうしよう、ミスしたら大変なことになるというような不安を持つことがなくなり、ストレスなくスムーズに業務を進められるのは非常に大きなメリットと言えます。

内部不正の心理的な抑止力かつ未然に防ぐことが可能になる

システム的に内部不正はできないものだと従業員に周知徹底することで、内部不正の心理的な抑止力となり、同時に未然に防ぐことが可能になります。わざわざ防犯や警備が厳重なのに、泥棒に入る人がいないのと同じです。システム的に堅牢な作りにするだけでなく、誰がデータにアクセスしたのか、データをどのように扱っているのかなど、「監視」することでさらに抑止力としての効果が高まります。

情報漏洩が起きた場合を想定して暗号化されている

システム的にそもそもUSBメモリにコピーできないようになっている、もしくはコピーしたとしても暗号化されているとすれば、情報漏洩しにくくなります。また、USBメモリを経由してデータを渡すのではなく、クラウド上にあるデータを参照する形に切り替えれば、データの追跡や後から削除することも可能になります。

内部不正や情報漏洩以外のサイバー攻撃にも効果がある

内部不正や情報漏洩の対策は他のサイバー攻撃にも効果があります。例えばPC操作ログを監視する仕組みがあれば、不正な操作を検知できますし、ファイルが暗号化されていれば、盗み出されても情報が漏洩することはありません。内部不正や情報漏洩への対策は社内や組織内だけでなく、外部からの攻撃への防御につながることも覚えておくべきです。

内部不正や情報漏洩を起こさせない、起こしにくくできる

システム的に対策を行うことで、内部不正や情報漏洩を起こさせない、起こしにくくできるのが最大のメリットです。完璧なシステムはありませんし、完璧な人間はいません。だからこそ、システム的に内部不正や情報漏洩の対策が必要になります。実際に故意ではなくても、内部不正ができてしまうバグやエラーに遭遇することもあります。それらを起こさせない、または起こしにくくすることが、雇用する側の義務でもあり、システムによる内部不正や情報漏洩の対策はこれからの時代に必須と言えるでしょう。

重要なのは情報漏洩に関わる要素をトータルにカバーするセキュリティ対策

本コラムの「標的型攻撃への対策には、何が必要なのか」でも触れたように、標的型攻撃と同様、PCからの情報漏洩も、「情報そのもの」から「実行者」までの複数の層で考えることができます。セキュリティ対策は、人間の運用という面も含めてすべての層をトータルに考えて構築すべきであり、どこでどのような制限を設けるかは、各社各様の事情に合わせて柔軟に設計しなければなりません。

そのために重要なのは、個人情報検索やPC操作ログ管理などの複数のツール・ソフトが一貫した考え方で設計されていて、相互に連携が取れることです。たとえば、個人情報検索で個人情報をふくむファイルを確認したら、そのデータを使ってPC操作やファイル制御の管理もできれば運用が楽になります。このように統一的なユーザーインターフェースで作られていれば、管理方法の習得にも手間がかかりません。

特に個人情報検索は、標的型攻撃への対策にも関わる重要な要素であり、現状把握のためにまず真っ先に行うべきステップですが、それだけではセキュリティ対策として十分とは言えません。

まずはPC内の個人情報検索から行うにしても、将来的に他の要素への対策も拡充していくことを見据え、トータルコストも考慮に入れて、セキュリティツール・ソフトを選択していくことが望まれます。