トレンドマイクロは、「不況下における情報漏えいリスクマネジメントセミナー」をプレス向けに開催した。
|
ソリューションビジネス推進部 ビジネスデベロップ課 横川典子氏 |
最近は情報漏洩の事件が増える傾向にあるが、その背景をソリューションビジネス推進部 ビジネスデベロップ課の横川典子氏は「最近、企業は効率化を高めるためにIT化を進めているが、これによりファイルのコピーが容易になっており、それによりリスクが増大している」と述べた。また、日本ネットワークセキュリティ協会が発表した「2008年上半期 情報セキュリティインシデントに関する調査報告書」によれば、情報漏洩の原因の78%は内部の人間によるものとしているが、横川氏はこの原因として機密情報の漏洩に対する社内整備の遅れや、うっかりミスによる漏洩の増加を挙げた。
|
情報セキュリティアナリスト 宇崎俊介氏 |
また、情報セキュリティアナリスト 宇崎俊介氏は「最近は、終身雇用が崩れ、非正規職員比率が増加しており、人が企業に根付かない文化が生まれている。これにより、人にひも付いた情報が漏洩するリスクが増大している」という別の背景も指摘した。
|
企業と従業員の関係性の変化 |
宇崎氏は、ガイドラインやルールを決めても、人的に運用するだけでは情報漏洩を防ぐことができないと語り、情報漏洩を防ぐためには、人事異動や部署の統廃合といったタイミングに合わせ、定期的に情報管理体制を見直し、実業務とのマッチングを図ることが重要だと指摘した。
|
定期的な情報管理体制の見直しが必要 |
そして、見直しの際には、監視ログに基づく修正や、形骸化してしまったポリシーの削除や再設定を行うといいという。
また、何から何までを守ろうとするのではなく、本当に漏洩してはいけない情報は何かを洗い出し、従業員の運用に頼らず、守りたい情報資産のみを確実・強固に守る対策を行うことが重要だと語った。
ポリシーを作成する際の注意として宇崎氏は、全社ポリシーは最小限にとどめること、経営者の意識を高めること、部門横断の体制づくりを行うこと、性善説を前提としないこと、情報保有者と業務担当者が同じでないこと意識すること、をポイントとして挙げた。
|
ポリシー策定の際のポイント |
宇崎氏は、情報漏洩対策にはDLP(Data Loss Prevention)ソリューションが有効だが、全社で一斉に導入するのではなく、開発部門や法務・経理などの管理門など、機密情報を取り扱っている部門から優先順位を付けてソリューション導入していくべきだと述べた。また、情報漏洩が発生したことを想定し、避難訓練のように対応フロー確認のための訓練を実施すべきだと指摘した。
また横川氏は、内部の情報漏洩に対しては暗号化やロギングといった対策を採る企業は多いが、いずれも起こった場合に備える事後対策であり、リアルタイムで情報漏洩を止めるには、DLPを導入するほかないと語った。
