標的型攻撃のみならず、従業員によるうっかりミスや管理者側の監視漏れなど、情報漏洩を引き起こす原因は多々ある。内部からの情報漏洩を防止するために過度に業務ファイルの暗号化を進めたり、メールへのファイル添付の禁止や一部のアプリ以外の使用禁止など、ITの利用に制限を設け過ぎてしまうと、肝心の業務の効率性が低下してしまう。これではますます加速する市場競争から一歩二歩と遅れをとってしまいかねない。

そこで、12月11日に開催されるセミナー「大企業のための情報漏洩対策セミナー~情報漏洩が起こる事を想定した対策を講じる~」では、ハミングヘッズの顧問 石津広也氏により、煩雑な管理や運用を避けつつも、社内での情報活用を阻害することなく内部情報漏洩を防止する「能動的セキュリティ」を実現する方法について解説する。

大企業のための情報漏洩対策セミナー~情報漏洩が起こる事を想定した対策を講じる~」の参加申し込みはこちら(参加費無料、12月11日(木)開催、東京都千代田区、開場12:30~)

セキュリティ対策を顧客との信頼構築につなげる「能動的セキュリティ」

ハミングヘッズ株式会社 顧問 石津広也氏

石津氏がこれからの情報セキュリティのあるべき姿として特に強く提唱するのが、「能動的セキュリティ」だ。「これまでセキュリティ対策というと、いろいろと従業員に制約や我慢を強いてしまったり、実施しているセキュリティ対策自体を公にしないといったどちらかと言えば消極的な姿勢が一般的でした。しかし、本当に重要なのは、大事な情報は守りつつも従業員にはなるべく負荷をかけず、またそれと同時にそうしたセキュリティ対策の取り組みが顧客との信頼構築やサービスの信頼性向上につながるように行為行動することだと考えています。それこそが、我々が訴える能動的セキュリティです」

うっかりで重要情報を平文で流出させてしまうというのは論外だが、例えば、重要な情報を外部に出す時には必ず暗号化するといったルールと仕組みを整えている職場で、ユーザーが暗号化する必要のない、重要性の低いデータまで暗号化してメールに添付して送ってしまったとする。だがその場合、相手にうっかり暗号化してしまったことを謝罪したとしても、相手の信頼性を損なうことにつながるだろうか?──もちろん、個人動作としての確実さは少し評価が下がるかもしれないが、むしろ相手は、法人としてはそれだけ情報漏洩に対して十分に対策が周知され日常化されていることを認識するに違いない。

「人はミスをするものです。『うっかり間違って機密情報を送ってしまいました』となるより、『うっかり間違えたからこそ不要な暗号化をしてしまい、情報を正しく伝えられませんでした』という方が安全でいいでしょう。また、当社ではこういったセキュリティ対策を実施していると積極的にオープンにしていくことで、自社の取り組み姿勢を広く知ってもらうこともできます。もちろん、すべての情報を開示するわけにはいかないでしょうが、持ち出しノートPCへの対策やインターネット利用に関する情報漏洩対策の方針など、顧客や取引先との接点にかかわる部分の対策姿勢を、自ら発信することには信頼構築にかなりポジティブな効果があるはずです」(石津氏)

能動的セキュリティを実現するソリューションとは

例えば暗号化一つをとっても、都度手動で添付ファイルや重要ファイルを暗号化していては時間のロスが生じてしまう。また自動化したにせよ、社内も含めたあらゆる相手にすべてのファイルを暗号化していたのでは、これまた無駄な手間が発生する。そうした問題を解決して能動的セキュリティの実現を支援するのが、ハミングヘッズの情報漏洩対策ソフトウェア「セキュリティプラットフォーム」である。

このソフトウェアは、WindowsAPI監視技術を活用することにより、社外へデータを持ち出す操作を全て検知し、自動的に暗号化&復号を実施する。USBメモリや外付けHDD、CD-R、スマートフォンのような外部媒体や、インターネット、メールなどのネットワーク経由すべてに対応する。他にも、インターネットなどの通信やあらゆるアプリケーションからのソフトウェア・ファイルに対して「書き込み・通信(Write)」を完全にシャットアウトしたり、全PCの全操作・プログラムの動きを記録したり、ウイルス・マルウェア・標的型攻撃・未知のウイルス・フィッシングまであらゆるサイバー攻撃からPCを完全に防御したりなど、情報漏洩を防ぐための多彩な機能・オプションを備えている。

「セキュリティプラットフォームを使えば、管理者やユーザーに日常大きな負荷をかけることなく、自然な動線で従業員のうっかりミスなどもほぼシャットアウトできるはずです」(石津氏)

セキュリティプラットフォームはこれまで、国内の巨大インフラ企業や人材情報企業、官公庁などで長く利用されてきた実績を持つ。ある電力会社では、関連会社を含めてすべての組織にセキュリティプラットフォームを導入したことで、機密情報の保護に大いに役立っているという。そうした具体的な事例の詳細については、12月11日のセミナーでの同氏の講演「WindowsAPI監視技術による抜本的情報漏洩対策とは」で明らかにされる予定だ。

「自社のセキュリティ対策を公にすることで信頼構築するという能動的セキュリティとは具体的にどのようなものなのか。情報セキュリティを単にマイナスなものとしてではなく、プラスなものにしていくためのヒントをぜひつかんでいただけると嬉しいです」──石津氏からのメッセージをセミナー会場でぜひ受け取っていただきたい。