ネットワーク
サーバー
クライアントPC
ヘルプデスク
セキュリティ
グループウェア

企業の情報漏えい事故対策は何をどこまでやればいいの?

情報漏えい事故が企業に及ぼす影響が深刻化している今、社内SEは経営層から対策強化を強く求められています。

しかし、いくらお金をかけても完璧な解決策なんて絶対に無いのが情報漏えい対策です。
費用対効果の判断も難しいこの問題に対し、社内SEはいったい何をすべきなのでしょうか?

情報漏えいを起こすルートとその対策方法のまとめ

まずはあなたの会社で起こりうる情報漏えいの経路を洗い出し、その対策を考えましょう。

以下は実際に筆者の会社で具体的な対策まで検討した時のものです。費用感についてはユーザー数500名として試算しています。

情報漏えいの原因区分対策費用感費用対効果
PCやモバイル端末、USBメモリーの紛失 物理的持ち出し禁止・制限
リモートロック、ワイプ

500万円/年
(MDM導入)

印刷して持ち出し物理的持ち出し禁止・制限

100万円

社外の人による侵入物理的入退室管理
パスワード管理の徹底

100万円

Webへのアップロード電子的

通信プロトコル制限
Webフィルター

100万円/年

メール誤送信電子的キーワードフィルタ
一時保留・削除機能実装

200万円

ウイルス感染電子的ウイルス対策ソフト導入の徹底
スパムメール対策

130万円/年

ファイル交換ソフトによる流出電子的ファイル交換ソフトの起動禁止

0円?

情報漏えい対策の費用対効果って?

各対策ごとに費用対効果を見ていかなければいけませんが、上の表で示した金額は判断の上のほんの1面にしかすぎません。

例えば、USBメモリの使用を禁止したとしましょう。
当然紛失のリスクは無くなりますが、その結果以下のような問題が出てきます。

人の手間が増えることで生産性が落ちることが懸念されます。また今までUSBメモリーでやっていたデータ受け渡しの代替え策として、会社専用のデータ転送ツールを準備する必要も出てくるので、新たなコストが増えることにもなります。

これらの点を考慮しても禁止するメリットの方が大きいのかどうかを判断しなければなりません。

制限をかける形の対策は、ITが分かる人にはいくらでも抜け道があり、将来的にすぐに破たんする可能性が高いです。情報漏えい事件の恐怖に踊らされ、その場しのぎの対応にコストをかけてはいけません。

ウイルス対策とファイル交換ソフト禁止の2つは必須

では、まず何を優先して対策すればいいかというと、ウイルス感染とファイル交換ソフト使用への対応です。この二つは社員の業務上の利便性を損なわず、確実にリスクを低減できる対策です。

ウイルス対策ソフトの導入、管理

ウイルス感染は、悪意を持った者がしかけてくる現象であり、かつ、社員が全く無意識のうちに感染してしまいます。

ウイルス対策ソフトを導入する以外に対策の術が無いという意味でも必須の情報漏えい対策となります。

ウイルス対策ソフトは導入だけではなく、常に最新のパターンファイルになっていなければ全く意味がありません。定期的に全PCのパターンファイル更新状況をチェックする運用を徹底しましょう。

ファイル交換ソフトの起動禁止

Winnyをはじめとするファイル交換ソフトの起動を禁止しましょう。

ActiveDirectoryを導入していればグループポリシーを使うことで全PCに禁止設定を反映できます。手順はこちら(外部サイト)を参照してください。

スマートフォンを導入するならリモートワイプは必須

スマートフォンやタブレット、小型のノートPCなど、外出先で紛失する危険性のあるモバイル端末を社員に使わせる場合は、リモートロックや遠隔操作でデータ消去ができるリモートワイプができるMDM(Mobile Device Management)を導入しましょう。

紛失の事実が分かるまでの間の危険性や、確実にロック・ワイプできたかどうかの確認が取れないことで情報漏えい対策としての確実性は低いのですが、モバイル端末を扱う企業の義務として端末を管理する仕組みは考えておくべきです。

完全クラウドでスマートフォンにデータを持たせなければ、紛失してもリモートワイプは不要と考える人もいるかもしれません。しかし、USB経由でスマートフォンにサーバーデータをコピーされていたら終わりです。複数社のMDMを見てきましたが、今のところUSB経由(ゲートウェイも含む)の情報持ち出しを制御できる製品はありませんでした。

アピールにしかならない情報漏えい対策

PCの持ち出し禁止、USBデバイスの禁止、印刷物持ち出しの承認運用、メール誤送信防止などは知っている人ならばいくらでも別の方法でデータを持ち出すでしょう。

つまり、確信犯的(会社に損失を与えようとする意味ではありません)に情報を外部へ持ち出したがる社員に対しては何の効果も無く、「うちの会社は、こんなに情報漏えい対策してますよ」というアピールになるだけです。

操作ログ収集は活用の幅が広い

クライアントの操作ログ、メールの送信ログ、印刷ログを収集する仕組みを整備しましょう。これによってユーザーのデータ操作は全て拾うことができるので、いざ、情報漏えい事故が起きた時も原因をトレースすることができます。

さらにこのログを解析することで、情報漏えいリスクの高い操作を抽出し新たな対策へとつなげることもできるでしょう。
次の項目でも操作ログの有効な活用方法を紹介しています。

今後注目される、もっとも費用対効果の高い情報漏えい対策とは?

交通事故を防ぐために最低限必要なものとして、信号や踏切、基本的なルールが整備されていますが、そのルールに従うかどうかはドライバー次第です。むしろルールを守っていたとしてもドライバーの判断力次第では事故はいくらでも起きるでしょう。

情報漏えい事故も同じく、上記に挙げたような最低限の環境整備ができたら、あとはひたすら「社員の意識・モラルの向上」を図るだけです。

インターネット情報検索では何かと製品のPRが絡むので、情報漏えいに対してはシステムを導入して対策しましょうというアプローチがほとんどです。
そのシステム導入に高額な費用をかけても、完璧な安全は保障されない上に、新たな脅威が登場すればまた新たなシステムが必要になるというイタチごっこ状態に陥ります。

ITを使うのは人です。人の意識を変えていくのは骨の折れる作業ですが、効果は大きく将来に渡って効果を持続する対策と言えます。

社員の意識とモラルの向上を図る3つのアプローチは以下の通りです。

アプローチ1 社員教育

集合教育、e-learningといった形式でDVD上映や社内のウイルス検知報告をするだけでも社員の意識は大きく変わります。

短時間であっても定期的に行い、全社員向けに行うことが大切です。

アプローチ2 ログの公開による抑止効果

操作ログは定期的に公開することで、「監視されているから下手なことはできない」という抑止効果につながります。筆者の会社でも特定の禁止キーワード(ギャンブル、風俗、ゲームなど)を含んだWebサイト閲覧ログをトラッキングしていましたが、このログを公開しつつセキュリティ教育を実施したところ、アラーム件数は70%も低下しました。

アプローチ3 責任の重さを認識させる誓約書

自分が犯した情報漏えい事故が、自分にどう影響してくるのかをイメージさせておくことが大切です。

筆者の会社では社員の入社時にセキュリティ教育を施すとともに、IT機器使用に関する誓約書にサインをもらっています。

法的な効力は持たせていませんが、会社が貸与するIT機器について管理責任を感じさせる演出としては大きな効果があります。

社員のセキュリティ教育は上記で紹介した情報漏えい経路の全てに対する対策として活用できるので、多少労力がかかっても取り組むべきです。
参考「社員のセキュリティ教育の必要性と実施方法

↑ページのトップへ-

次は→ 社内SEがやるべき会社のウイルス対策リスト

ひとことコメント
関連記事
社内SEがやるべき会社のウイルス対策リスト|PCセキュリティー 社内SEがやるべき会社のウイルス対策リスト|PCセキュリティー
社員のセキュリティ教育の必要性と実施方法 社員のセキュリティ教育の必要性と実施方法
UTMって必要?もはやファイヤーウォールでは社内LANを守れない! UTMって必要?もはやファイヤーウォールでは社内LANを守れない!
FortiGate 620B 評価してみました|UTM検証&レビュー FortiGate 620B 評価してみました|UTM検証&レビュー

人気エントリー
最近のエントリー
筆者プロフィール
筆者プロフィール
  • 1976年 東京都生まれ
  • 23歳・・・サービス業の会社に勤務したが時間的自由度の低さに納得行かず転職を考える。
  • 25歳・・・「新卒扱いで構いません!」と言ってIT系企業(社員30名)に転職。
    Word、Excelから始め、サーバーやネットワーク機器の構築を学び、3年間SIerとしてお客様への提案やシステム構築を行う。
  • 28歳・・・「3年の経験あり」ということで現在の会社(従業員数900名)に社内SEとして入社
    遅れに遅れていた社内システムを低予算で更新した実績を評価された。