| 情報漏えい事件数は減少も、漏えい人数と賠償総額は大幅増加 |
|
2008年6月、日本ネットワークセキュリティ協会(JNSA)が発表した「2007年度 情報セキュリティインシデントに関する調査報告書」によると、2007年に発生した個人情報漏えい事件の件数は864件となり、2006年に比べて129件減少しました。
情報漏えい対策は、企業のブランド毀損や信頼失墜を防ぐだけでなく、事業継続性の確保という観点からも重視すべきセキュリティ対策です。
ここ数年、企業のリスク管理の意識は向上しており、JSOX法など各種法整備も進んでいます。こうした各方面での前向きな取り組みの成果が、
件数の減少として現れていると推察されます。
その一方で、2007年に漏えいした個人情報の人数は3,053万1,004人となり、2006年より約800万人も増加しています。
想定損害賠償総額に関しては、JNSAが調査を開始した2002年以来、最高金額の約2兆2,711億円を記録しました。2006年の約4,570億円を遥かに凌ぐ数字です。
これは一体、どういうことでしょうか。答えのヒントは、情報漏えいの経路にあります。同報告書では、
漏えいの原因のトップとして全件数の20.4%を占める管理ミスを挙げています。
管理ミスとは、「情報の公開や管理ルールが明確化されていなかったため」に発生するリスクのことです。内訳を見ると、
「約半数が誤廃棄で誤って他の情報と一緒に廃棄した例が多く、またUSBフラッシュメモリなどの可搬媒体の紛失、郵送や配送中の紛失など」となっています。
注目したいのは、USBメモリやCD-Rなどの記録メディアです。特に昨今のUSBメモリは超小型化されており、大容量の情報を記録できます。
漏えい件数は減少していても流出人数が増加しているのは、こうした記録メディアが利用され、1件で流出する情報量が大きくなっているからです。
その意味で、情報漏えいのリスクはむしろ高まっているのかもしれません。
実際に現在でも情報漏えい事件は後を絶ちません。最近では、ある企業の社員が自宅で作業するため、USBメモリに個人情報を含むデータを入れて持ち帰ったところ、
帰宅途中に鞄ごと紛失するという事件が起こっています。別の事件では、社員が落としたUSBメモリを拾った男性が企業を恐喝するという事態にまで発展しています。
個人情報だけでなく、知的財産や財務情報の流出も深刻さを増しています。最近では、ある大手メーカーの社員が開発中の製品データや図面データなどをノートPCにダウンロードし、
持ち帰って流出させた事件があります。この事件では、同社の機密情報の取扱いや危機管理などが厳しく問われ、企業の信頼性に大きなダメージを与えました。
|
| データ中心のセキュリティ対策に視点を変える |
|
事件が発生するということは、現状の情報漏えい対策に不足する点があるということです。では、何を実施すべきでしょうか。ただし、セキュリティ対策は必須といえど、
コストや運用の負担増大は避けなければなりません。また、ノートブックPCの持ち出しやCD-Rでのデータ持ち出し禁止などで、業務効率を低下させたりビジネスチャンスの損失を招いたりすることも、
極力回避したいところです。
そこで取り入れたいのは、「データ中心(データ・セントリック)」というアプローチです。現在の多くの情報漏えい対策は、
情報の「周辺」にあるシステムやネットワークにおける対策が中心です。
しかし、本来守るべきはデータそのものです。IDとパスワードによるアクセス制御や、ゲートウェイでの外部からの不正侵入対策を施すことも重要です。
しかし、それはあくまでもデータへのアクセス経路を保護するだけです。実際にアクセスした後、そのデータをどのように扱うかは見てくれません。
正規のアクセス権限を持った人が情報を持ち出すときと持ち出した後の両方を含めた包括的なデータ保護。それこそがデータ・セントリックのセキュリティ対策であり、企業が必要な新しい視点なのです。
データ・セントリックなアプローチに基づく情報漏えいの事前および事後対策は、図1にまとめたとおりです。つまり、情報がデータの利用、保存、
アクセスの方法や保管場所に関係なく、重要な資産であるデータを保護することを目的としています。
図1. データ・セントリックでの情報漏えい事前および事後対策
事前対策では、データの扱い方を考慮した制限や監視などを実施します。データへのアクセス制御はもちろんのこと、USBメモリを含む記録媒体での持ち出し制御、
紙媒体での持ち出しを想定した印刷制御、コピーや参照などデータへの操作を追跡するためのログ収集および管理などが挙げられます。
そして、持ち出した後のリスクを軽減する事後対策では、データの暗号化による保護を実施します。システムやネットワークでの対策に加え、
データ保護の観点から事前・事後対策を実施することで、初めて真の情報漏えい対策となるのです。
|
| McAfee Data Protectionソリューションが提案する情報漏えい事前・事後対策 |
|
マカフィーでは、こうしたデータ・セントリックな情報漏えい対策として「McAfee Data Protection」ソリューションを提供しています。
同ソリューションは、「McAfee Total Protection for Data」と呼ばれるスイート製品のほか、それを構成する以下のポイント製品を必要に応じて選択することが可能です。
「McAfee Host Data Loss Prevention」
情報自体にタグを付けることで、デバイスへの転送・コピー、検知による持ち出し制御、不正行為のユーザ名や時間、
操作内容などのログ収集および解析などを実施するソフトウェア製品。
「McAfee Device Control」
USBメモリからMP3プレーヤー、CD、DVD、Bluetoothデバイスなど、あらゆるリムーバブルメディアへのデータ転送を監視して、制御するソフトウェア製品。
「McAfee Endpoint Encryption」
AES-256やRC5-1024などの強力なアルゴリズムによる暗号化を実施するほか、
使用が許可されていないデバイスの試用もブロックするソフトウェア製品。FIPS 140-2、EAL 4認証など暗号化基準や仕様にも準拠。
スイート製品は、企業のセキュリティポリシーに応じたデータ保護を定義し、デバイスへのコピーから持ち出し後の保護まで、
データに関わるセキュリティ対策を全方位で確保します。例えば、会社が提供するUSBメモリではデータ持ち出しを許可し、
持ち込みUSBメモリでは持ち出しを禁止するといった詳細な設定も可能です。しかも、こうした作業は、
エンドユーザの意識しない場所で確実に実施されます。エンドユーザの特別な教育も必要ありません。
ポリシー管理や実施状況は、「ePolicy Orchestrator」で一元管理できます。どのPCが暗号化されているのか、データがどのデバイスにコピーされて、
どのような操作が行われたか、すべて1つの画面で可視化できます。
複数の管理画面を起動するなどの運用負荷はありません(「Endpoint Encryption」については今後連携を強化予定)。
コスト面でも、サーバライセンスを含めたPC台数単位でのライセンス販売をしており、規模を問わず柔軟かつ高コストパフォーマンスの導入を実現できます。
データ・セントリックにセキュリティ対策を見直すという当ソリューションのアプローチは、8月20日から東京ビッグサイトで開催される日経BP主催「Security Solution 2008」でも注目されています。
同イベントの「セキュリティ・オープン・ラボ2008」では、「DLPホットステージ」という特設コーナーが設けられており、
マカフィーもデモンストレーションを実施します。製品に実際に触れることで、御社に必要な対策が具体的に見えてくると思います。
ぜひ一度弊社ブースまでお越しいただき、McAfee Data Protectionのメリットを体感してください。
|
| マカフィーからのお知らせ |
|
今月の製品ピックアップ
「Email and Web Security」
セキュリティ被害の85%はWebとE-mailから。電子メール、Webの脅威に対する高度なプロテクションを1つのソリューションですべて実現します。
現在、スパム対策キャンペーン実施中!
詳細はこちら >>
セミナーのご案内
さまざまなセミナーを開催しておりますので、ぜひご参加ください。
セミナーの詳細はこちら >>
マカフィーのWebサイトはこちら >>
本ニュースレターのバックナンバーはこちら >>
|
