情報漏えい事故が企業に及ぼす影響が深刻化している今、社内SEは経営層から対策強化を強く求められています。
しかし、いくらお金をかけても完璧な解決策なんて絶対に無いのが情報漏えい対策です。
費用対効果の判断も難しいこの問題に対し、社内SEはいったい何をすべきなのでしょうか?
まずはあなたの会社で起こりうる情報漏えいの経路を洗い出し、その対策を考えましょう。
以下は実際に筆者の会社で具体的な対策まで検討した時のものです。費用感についてはユーザー数500名として試算しています。
情報漏えいの原因 | 区分 | 対策 | 費用感 | 費用対効果 |
---|---|---|---|---|
PCやモバイル端末、USBメモリーの紛失 | 物理的 | 持ち出し禁止・制限 リモートロック、ワイプ | 500万円/年 | 低 |
印刷して持ち出し | 物理的 | 持ち出し禁止・制限 | 100万円 | 中 |
社外の人による侵入 | 物理的 | 入退室管理 パスワード管理の徹底 | 100万円 | 中 |
Webへのアップロード | 電子的 | 通信プロトコル制限 | 100万円/年 | 中 |
メール誤送信 | 電子的 | キーワードフィルタ 一時保留・削除機能実装 | 200万円 | 低 |
ウイルス感染 | 電子的 | ウイルス対策ソフト導入の徹底 スパムメール対策 | 130万円/年 | 高 |
ファイル交換ソフトによる流出 | 電子的 | ファイル交換ソフトの起動禁止 | 0円? | 高 |
各対策ごとに費用対効果を見ていかなければいけませんが、上の表で示した金額は判断の上のほんの1面にしかすぎません。
例えば、USBメモリの使用を禁止したとしましょう。
当然紛失のリスクは無くなりますが、その結果以下のような問題が出てきます。
人の手間が増えることで生産性が落ちることが懸念されます。また今までUSBメモリーでやっていたデータ受け渡しの代替え策として、会社専用のデータ転送ツールを準備する必要も出てくるので、新たなコストが増えることにもなります。
これらの点を考慮しても禁止するメリットの方が大きいのかどうかを判断しなければなりません。
制限をかける形の対策は、ITが分かる人にはいくらでも抜け道があり、将来的にすぐに破たんする可能性が高いです。情報漏えい事件の恐怖に踊らされ、その場しのぎの対応にコストをかけてはいけません。
では、まず何を優先して対策すればいいかというと、ウイルス感染とファイル交換ソフト使用への対応です。この二つは社員の業務上の利便性を損なわず、確実にリスクを低減できる対策です。
ウイルス感染は、悪意を持った者がしかけてくる現象であり、かつ、社員が全く無意識のうちに感染してしまいます。
ウイルス対策ソフトを導入する以外に対策の術が無いという意味でも必須の情報漏えい対策となります。
ウイルス対策ソフトは導入だけではなく、常に最新のパターンファイルになっていなければ全く意味がありません。定期的に全PCのパターンファイル更新状況をチェックする運用を徹底しましょう。
Winnyをはじめとするファイル交換ソフトの起動を禁止しましょう。
ActiveDirectoryを導入していればグループポリシーを使うことで全PCに禁止設定を反映できます。手順はこちら(外部サイト)を参照してください。
スマートフォンやタブレット、小型のノートPCなど、外出先で紛失する危険性のあるモバイル端末を社員に使わせる場合は、リモートロックや遠隔操作でデータ消去ができるリモートワイプができるMDM(Mobile Device Management)を導入しましょう。
紛失の事実が分かるまでの間の危険性や、確実にロック・ワイプできたかどうかの確認が取れないことで情報漏えい対策としての確実性は低いのですが、モバイル端末を扱う企業の義務として端末を管理する仕組みは考えておくべきです。
完全クラウドでスマートフォンにデータを持たせなければ、紛失してもリモートワイプは不要と考える人もいるかもしれません。しかし、USB経由でスマートフォンにサーバーデータをコピーされていたら終わりです。複数社のMDMを見てきましたが、今のところUSB経由(ゲートウェイも含む)の情報持ち出しを制御できる製品はありませんでした。
PCの持ち出し禁止、USBデバイスの禁止、印刷物持ち出しの承認運用、メール誤送信防止などは知っている人ならばいくらでも別の方法でデータを持ち出すでしょう。
つまり、確信犯的(会社に損失を与えようとする意味ではありません)に情報を外部へ持ち出したがる社員に対しては何の効果も無く、「うちの会社は、こんなに情報漏えい対策してますよ」というアピールになるだけです。
クライアントの操作ログ、メールの送信ログ、印刷ログを収集する仕組みを整備しましょう。これによってユーザーのデータ操作は全て拾うことができるので、いざ、情報漏えい事故が起きた時も原因をトレースすることができます。
さらにこのログを解析することで、情報漏えいリスクの高い操作を抽出し新たな対策へとつなげることもできるでしょう。
次の項目でも操作ログの有効な活用方法を紹介しています。
交通事故を防ぐために最低限必要なものとして、信号や踏切、基本的なルールが整備されていますが、そのルールに従うかどうかはドライバー次第です。むしろルールを守っていたとしてもドライバーの判断力次第では事故はいくらでも起きるでしょう。
情報漏えい事故も同じく、上記に挙げたような最低限の環境整備ができたら、あとはひたすら「社員の意識・モラルの向上」を図るだけです。
インターネット情報検索では何かと製品のPRが絡むので、情報漏えいに対してはシステムを導入して対策しましょうというアプローチがほとんどです。
そのシステム導入に高額な費用をかけても、完璧な安全は保障されない上に、新たな脅威が登場すればまた新たなシステムが必要になるというイタチごっこ状態に陥ります。
ITを使うのは人です。人の意識を変えていくのは骨の折れる作業ですが、効果は大きく将来に渡って効果を持続する対策と言えます。
社員の意識とモラルの向上を図る3つのアプローチは以下の通りです。
集合教育、e-learningといった形式でDVD上映や社内のウイルス検知報告をするだけでも社員の意識は大きく変わります。
短時間であっても定期的に行い、全社員向けに行うことが大切です。
操作ログは定期的に公開することで、「監視されているから下手なことはできない」という抑止効果につながります。筆者の会社でも特定の禁止キーワード(ギャンブル、風俗、ゲームなど)を含んだWebサイト閲覧ログをトラッキングしていましたが、このログを公開しつつセキュリティ教育を実施したところ、アラーム件数は70%も低下しました。
自分が犯した情報漏えい事故が、自分にどう影響してくるのかをイメージさせておくことが大切です。
筆者の会社では社員の入社時にセキュリティ教育を施すとともに、IT機器使用に関する誓約書にサインをもらっています。
法的な効力は持たせていませんが、会社が貸与するIT機器について管理責任を感じさせる演出としては大きな効果があります。
社員のセキュリティ教育は上記で紹介した情報漏えい経路の全てに対する対策として活用できるので、多少労力がかかっても取り組むべきです。
参考「社員のセキュリティ教育の必要性と実施方法」
![]() |
社内SEがやるべき会社のウイルス対策リスト|PCセキュリティー |
![]() |
社員のセキュリティ教育の必要性と実施方法 |
![]() |
UTMって必要?もはやファイヤーウォールでは社内LANを守れない! |
![]() |
FortiGate 620B 評価してみました|UTM検証&レビュー |
![]() |
別のプログラムがこのフォルダーまたはファイルを開いているので・・・の原因と解決方法(2015/11/24) |
![]() |
ファイルサーバーのアクセス権を一括確認(2014/02/14) |
![]() |
テレビ会議システムとWeb会議システムはどっちを選べばいい?(2014/02/06) |
![]() |
Web会議システム「V-CUBE」と「Meeting Plaza」徹底比較(2014/02/06) |
![]() |
現役社内SEが考えたWeb会議システムの選び方(2014/02/06) |
![]() |
iPhoneからリモートデスクトップできるアプリ「LogMeIn」(2014/01/22) |
![]() |
EMC「VNXe3100」の重複排除でファイルサーバーを超効率的に運用する(2014/01/16) |