情報を守り、企業を守る

2010/12/08

先日、フォーブス誌のアンディ・グリーンバーグ(Andy Greenberg)氏がWikileaks(ウィキリークス)のジュリアン・アサンジ(Julian Assange)氏とのインタビューを発表しました。インタビューの中でアサンジ氏は、現在は国家機密を暴露しているが、今後は大企業の秘密も暴露していくと述べています。最初の標的は米国の大手銀行だと、アサンジ氏は断言しています。

一度外に出た情報をテクノロジーで元に戻すことはできませんが、今後、更なる発生が予測されるこの種の問題に対処するために、必要なツールを企業に提供することは可能です。具体的には、DLP(Data Loss Prevention:情報漏えい対策)テクノロジーを活用し、USBメモリーを使用不可能に設定したり、許可されたユーザー以外の者が機密情報をコピーすると警告を発したりすることができます。企業はDLPを使用して、重要な情報がネットワークから流出するのを防ぎ、情報の流れや送信者を確認して、措置を講じることができます。もちろん、情報を十分に保護するためには、暗号化、デバイス制御、アクセス制御などのテクノロジーをDLPと併用する必要があります。

企業は近年、従業員、ビジネスパートナー、顧客、規制当局との間における透明性の向上に取り組んでいます。ガートナーリサーチのポール・プロクター(Paul Proctor)氏は、2009年のGartner ITXpo以来、このことを取り上げ、次のように述べています。「このことは大きな文化的変化を反映しています。従来のセキュリティプログラムでは、悪人を締め出して内部の情報を保護することしかできません。しかし、その様相は、情報を積極的に公開して企業の信頼を育む方向へと変化しています。企業の透明度を高める姿勢に変化することは、新しいビジネス環境で成長軌道に戻る上で必要不可欠な要素となるでしょう」

テクノロジーの観点から言えば、これはDLPが解決する問題です。DLPは、内部関係者による情報漏えいを防ぐだけではなく、リスク管理とセキュリティにより、ビジネスに可能性を与えることが重要です。

もちろん、テクノロジーだけでは問題を解決できません。IT部門は、個人を容易に識別できる規制対象のデータを保護できるかもしれませんが、企業の知的財産を特定する立場にいることはあまりありません。機密情報の保護は、単なるテクノロジーの問題というよりも、ビジネス上の問題として、企業全体で取り組むべき問題といえるでしょう。実際に、 情報漏えい対策を徹底的に取っている企業では、経営幹部が部門を超えてこのプロセスに時間とエネルギーを注ぎ、テクノロジーを配備しています。結局、企業が機密にすべき情報を最も正確に特定できるのは経営幹部であり、事件が発生して改善が必要な際に最前線で対応すべきなのは彼らなのです。

Wikileaksが断言した情報の開示によって金融機関が実際に打撃を受けるかどうかは現時点では不明ですが、企業が自社の情報保護戦略を見直すべき時期に差し掛かっていることは明らかです。