ガートナー ジャパンは10月31日から11月2日にかけて、年次カンファレンス「Gartner IT Symposium/Xpo 2022」を開始した。

本記事ではその中から、「情報漏洩対策の再考:新しい時代の内部不正リスクに備える」と題した講演の内容を紹介する。

【関連記事】
≪Web3はバズワードか?企業は真剣に取り組むべきか否か≫
≪待ったなしのWindows 11移行、円滑に進めるポイントは? - ガートナー≫

従来、情報漏えい対策は、ユーザーは決められた場所で情報をあつかうことを念頭に行われてきた。代表的な対策方法としては、事業計画や個人情報といった社内の機密情報の定期的な棚卸しや、従業員を対象にした一律なセキュリティ教育・検知、PC操作ログの取得などが挙げられる。

しかし、講演に登壇したガートナージャパン リサーチ&アドバイザリ部門 ディレクター アナリストの矢野薫氏は、「リモートワークの環境を作るためにモバイルやクラウドの利用が進み、情報漏えい対策の再構築を考える段階にある」と指摘し、情報漏えい対策の再考ポイントを3つ挙げた。

  • ガートナージャパン リサーチ&アドバイザリ部門 ディレクター アナリスト 矢野薫氏

    ガートナージャパン リサーチ&アドバイザリ部門 ディレクター アナリスト 矢野薫氏

セキュリティの役割、責任、実施内容を見直す

1つ目が、「情報の種類と場所の把握を定常的に行えるようにする」ことだ。

閉域でオンプレミスな環境だけでなく、今やさまざまな情報がクラウドに散在している。ユーザー部門がSaaSを契約して使うことも珍しくなく、1人で複数台のデバイスを利用していることもある。

「年に1度の棚卸しで情報の所在を把握できている、と経営者は自信を持って言えるだろうか。毎日の業務の中で情報の種類と場所をトレースできる環境が必要ではないか」と矢野氏は提言。具体的な対応として、守りたい情報の種類に応じて各事業部門におけるセキュリティの役割、責任、実施内容の見直しを挙げた。

ガートナーがこれまでコンサルティングに携わってきた日本の企業では、事業計画や知的財産、個人情報、見積書などを「機密情報」と一括りにされていることが多く、それらを守る担当や漏えいした際の責任の所在があやふやなことも珍しくないそうだ。

  • 情報の整理に応じた整理方法の例、出典:Gartner(2022年11月)

    情報の整理に応じた整理方法の例、出典:Gartner(2022年11月)

セキュリティの観点では、「情報は使う権利を持つものが守る」ことが原則となる。そのため、矢野氏は「特定のファイルにフラグを付与したり、認証のための権限設定を行なったりといったセキュリティ対策はユーザー部門が実行すべき」と指摘した。

「日本の商慣行では、『情報のセキュリティを守るのはITの仕事』と捉えられてきたが、今は時代が違う。社内のファイルが外部に送って良いものかどうかはユーザー部門が最も理解しており、ユーザー部が自分たちで使いながら守る必要がある。そうした考えを社内で浸透させていかないと、いくら技術を導入しても情報漏えい対策は進まない」(矢野氏)

また、ユーザー部によるセキュリテイ対策が機械的にならないよう、業務のプロセスにセキュリテイ・ルールに基づいた対策プロセスを組み込むことが重要だという。