東京都千代田区のマイナビルームにおいて、セキュリティをテーマにした技術セミナー『脅威は外部攻撃だけじゃない! 情報漏洩"総合"対策セミナー』が開催された。外部からの攻撃だけではなく、企業内部の人間による誤操作やミスも考慮したセキュリティ対策を実現するために必要な考え方や技術を紹介するセミナーだ。

日本ネットワークセキュリティ協会の研究員 園田道夫氏

セミナーには、日本ネットワークセキュリティ協会 研究員、サイバー大学 IT総合学部准教授、情報処理推進機構 セキュリティ技術ラボラトリー 研究員などの肩書を持つ園田道夫氏が登壇。『情報漏洩事件の実際』という講演を行い、実際の調査結果を基づいた"身の丈に合ったセキュリティ対策"について解説した。本稿では、その講演の模様を簡単にご紹介しよう。

情報漏洩、本当に多い原因は不正アクセスよりも……

園田氏は講演の冒頭、日本ネットワークセキュリティ協会の調査資料から情報漏洩の原因を集計したグラフを提示。不正アクセスや故意の内部犯罪等と比較して圧倒的に誤操作や管理ミス、デバイス等の紛失・置き忘れを原因とする案件が多いことを指摘した。

情報漏洩の原因比率(件数)

また、情報漏洩の原因となった媒体としては圧倒的に紙媒体が多く、ついでUSBメモリなど持ち歩くことのできる記録媒体となっており、一般的に漏洩原因として多いと考えられているインターネットやメールを経由している例が意外と少ないことも紹介した。

情報漏洩媒体・経路(件数)

「あるべきものがなくなった時に漏洩に気づく。紙やUSBメモリなど、持ち出しやすいものが原因になる。これに対応しようとすると企業は、持ち出し制限などのルールを作ることが多いが、ルール違反を検知できなければ意味がない。とはいえ、オフィスの出入口に金属探知機のようなものを使うのは非現実的。印刷制限程度であれば適用可能かもしれないが、印刷機のログは誰がどうやって確認するのかが問題になる。違反を検知できないのならば、制限することで安心しているだけ。実効性のある対策を打ち出すのは難しい」とルール作りだけでセキュリティを強化することの難しさを語った。

また、特に漏洩要因になっている紙媒体に関しては、紙を社内で回して印を押すなどのカルチャーが根付いていることも多く、対応が難しいという。

「記録をとっても見られる人がいない。上司に許可をとってからということになると、上司が留守の時は仕事が進まなくなる。クラウドのような便利なものも使えなくなる。不況で新入社員が増えず、中堅社員が雑用もやっている状況の中で納期は年々厳しくなっており、みんなとにかく忙しいのに、ルールで縛り付けるのは業務の阻害要因になりかねない」と園田氏は指摘。

ルールを作って運用するならば、ルールで行動を制限したことで生まれる問題にどう対処するのか、ルールをどう守らせるのかといった具体的な代替手段や違反検知方法などを用意しなければならない。厳しくルールを作り込んで行くと持ち出せるものがなくなってしまい、検知に労力を割くことは本業以外に注力するということにもなるのが問題だ。

今、行える現実的な対策

こうした状況の中、園田氏が「対策として注力すべき」と提案するのが、PCやタブレットといったものを利用して安全に持ち出しを行える環境を作るという方法だ。

「USBメモリのように安価で小さなものだと、管理も甘くなりがち。ノートPCなど大きくて高価なものならばプレッシャーもあるし、管理も頑張るのでは? 人間の気づきのようなものをセキュリティに利用できるだろう。時間外労働の誘発などという問題もあるだろうが、厳しく持ち出しを制限すれば全員が定時で帰れるというものではない。せめて安全に持ち出せる方法を作って使ってもらうのがよいのではないか」と語った。

しかし、PCやタブレット、スマートフォンといったデバイスには別の危険性がある。インターネットに容易に接続できること、ユーザーが気軽にアプリケーションで機能を追加できることにより、単純な紛失リスクとは別のリスクが出てくることだ。

持ち出し時にはデータを暗号化する場合でも、外出先での作業中には復号化しており、その作業中データが流出する可能性もある。

そうしたリスクを避けるために端末に多くの制限をかければ、やはり使い勝手は悪くなる。しかし、企業としては、配布した端末をエンドユーザーがカスタマイズし、私物化することにはどうしても不安を抱くだろう。この問題について、どう折り合いをつけるべきなのか、園田氏は次のように解説する。

「"相手を見る"というと聞こえは悪いが、危ない使い方をする人を避けるのが良いのではないか。これは、"危ない使い方"だけを避けるということでもある。とは言え、具体的にどのように運用するのかとなると、塩梅や平準化は難しい。部署によっては危ない使い方がどうしても必要な仕事もあるだろうし、クローズドなマインドを持ちながら仕事をできることなどが条件になる。この人なら大丈夫という人をピックアップして、その人にだけ許可するしかないかもしれない」

園田氏は、BYODについても私物を業務利用することはリスクであり、プライベート端末を使いながら業務とプライベートでマインドを切り替えて使うのは難しいながらも、導入するのならば全面導入かどうかではなく、管理できる人にだけ使わせるというような形がよいのではないかと提案した。

インターネット経由の情報漏洩は被害が大きい

インターネットを経由した情報漏洩については、不正アクセスとメール誤送信、標的型メールについて取り上げられた。どのケースも、一件あたりの漏洩件数が多い傾向にあり、被害が大きくなりやすいのが問題だ。

不正アクセスについては、基本となるSQLインジェクション対策がまだできていないところが多く、いまだに攻撃を受けているケースが多いという。

「犯罪者側にとって効率のよい攻撃方法。プラットフォームに関係がなく、クラウドでも安全ということはない。Webアプリケーションレベルで考えるべきものであり、サービスをやりたい人自身がなんとかするしかない。きちんとした体制とノウハウを保つためには何冊かの本を買う程度で済む」と根本的な対策を促した。

メール誤送信については、ミスを犯しやすい部分を減らすことが大切だという。アドレスの入力を手入力せずに済むようにするなど、人間自身が何かする部分を減らすことでだいぶミスを減らせるはずだと指摘した。

標的型メールについては、対策が難しいことを各種実験データを交えて紹介。「組織の中の人を装う芝居が光明で、見破りづらい。おそらく中の人がどこかに出したメール等をサンプルとして使っているのだろう。ぱっと見て見破るのは難しい。訓練もある程度有効だが、実験によるとひっかかってしまう人はゼロにはならない。全体の底上げも難しい」と対応のしづらさを指摘した。

特に、広報部門など組織外とのやりとりが発生するタイプの仕事では、怪しいメールを全て除外したり、開かないといった対応は難しいため、訓練だけで事故件数をゼロにすることはできないだろうとも語られた。

「ログを監視するにしても、人がログを見続けるのは無理。しかも、人間ほど精度の低いシステムはない。きちんと対応するには、それ専用のシステムを使うしかない」と、園田氏は教育やルールで固めるだけではなく、対応ソリューションを活用することの重要さを訴えた。

内部からの情報漏洩対策の基本