日本版SOX法・徹底解析

ネットワーク化で被害が深刻化

　情報漏えいとは、本来閲覧してはいけない相手に情報を漏らしたり漏れてしまう事態であり、いくつかパターンがある（図1）。

http://ascii.jp/elem/000/000/464/464857/

図1　さまざまな情報漏えいのパターン

　一般的には顧客情報や機密情報が外部に不正に持ち出されるといった内部犯の例を思い浮かべる。しかし実際は、ノートPCの置き引きや情報自体が誤って廃棄されたり、関係のないところへの誤送信といったユーザーの操作ミスなどの例もある。もちろん外部からの攻撃による盗難や盗聴もある。特に多いのが、Webアプリケーションや無線LAN経由での顧客情報の盗難である。調査によってこうした漏えいパターンの割合は異なるが、持ち出されて不利益なことは間違いない（図2）。

図2　漏えいの様態分類（IPA「情報漏えいインシデント対応方策に関する調査」　2007年8月）

　こうした漏えいの対象となる情報は、企業であれば、新製品や特許に関わる機密情報や顧客、競合に関する情報などを指すだろう。また、個人であれば住所や電話番号などの個人に付随する基礎情報はもちろん、資産や趣味、嗜好、生態情報なども他人には知られたくない情報といえる。

　従来であれば、こうした情報は紙などで保存されていた。しかし、1980年代後半からのコンピュータの普及で、さまざまな情報がデジタル化され、さらにそれを扱うコンピュータがネットワーク化されるようになった。この結果、デジタル化された情報の管理は企業にとってきわめて重要な関心事となってきた。

　デジタル化された情報の漏えいは、紙での情報漏えいと性格が異なる。物理的な金銭を盗難するのであれば、犯罪者は現地に出向かなければならないが、ネットワーク化されたコンピュータの情報であれば、現場に出向く必要はない。遠隔からコンピュータに不正に侵入して、情報を閲覧したり、詐取してしまえばよいからだ。もちろん、内部から外部の犯罪者に情報を渡したりするのも簡単だ。

　しかも、金銭や紙の情報であれば、あるべきところから消えてしまうために盗まれたことがすぐにわかるが、複製が容易なデジタルデータの場合、不正な人物に情報を閲覧されたか、盗難されたかは調べないとわからない。

　情報漏えい自体は決して最近になって生まれた問題ではない。しかし、コンピュータやインターネットの普及により、大量の機密情報をきわめて容易に持ち出せるようになり、被害が大規模化したのは最近の傾向といえる。

多発する情報漏えい事件とコンプライアンスの要件

　こうした背景から、大企業や官公庁での情報漏えい事件が相次いだ（図3）。2003年以降、情報漏えい事件は新聞やTV等でも積極的に取り上げられるようになり、企業のイメージダウンに直結するようになった。

図3　2005年～2007年 情報漏えい人数TOP10

　これに拍車をかけたのが、Winny※1をはじめとするP2Pソフトを悪用するウイルスによる情報漏えいである。こうしたウイルスはWinnyを経由して、PCなどに感染し、ローカルのファイルをインターネット上に公開してしまうというものだ。Winnyがインストールされた私物のPCを業務に利用したことで、業務上の重要な情報が漏れるという事件は、2005年以降多発し、大きな社会問題となった。

※1：Winny　日本で開発されたP2P型のファイル交換ソフト。匿名性が高く、違法ファイル交換の温床になるといして、作者が逮捕された。また、Winnyのネットワークを介して配布されるウイルスによる情報漏えいも大きな問題となっている。

　大規模な個人情報の漏えい事件の多発により、プライバシーが侵害されるだけではなく、犯罪に情報が利用される可能性も出てきたため、日本では一定数以上の個人情報を持つ場合の情報管理体制を定めた個人情報保護法※2が2005年に施行された。これにより、企業が個人情報を扱う場合は、セキュリティ面に十分留意した情報漏えい対策が要求されるようになった。

※2：個人情報保護法　2005年4月に施行され、正式には「個人情報の保護に関する法律」という。5000名以上の個人情報を持つ事業者を「個人情報取り扱い事業者」と規定し、適切な情報管理を行なうことが求められる。違反した場合には刑事罰も科せられる。

　さらに、2008年には財務会計の透明化を目指した日本版SOX法が施行。ここでは「内部統制」という概念が盛り込まれ、企業での情報管理が大きな課題となった。

情報漏えいにつながる多種多様な経路

　さて、情報漏えい対策と一言でいっても、その内容は多岐に渡る。これは漏えい経路がきわめて多種多様だからにほかならない。

　内部犯などによる意図的な漏えいであれば、メールやIMで送ったり、Webサーバにアップしたりといった手段のほか、USBメモリでコピーする方法もある。また、デジタルデータでの持ち出しが難しければ、紙で出力すればよいし、紙で持ち出せなければ、デジカメで撮影してしまえばよい。究極的には人間がその内容を覚えておけば、情報は持ち出せる。

　こうした情報漏えいの実態を考えると、金庫やキャビネットに鍵をかけたり、デジカメ付の携帯電話の持ち込みを禁止するのも、情報漏えい対策といえる。ただ、これでは幅が広くなりすぎるため、ここではITやネットワーク技術に絞った対策を解説していく。

既存のセオリーが通用しない

　ブロードバンドの普及で、さまざまなセキュリティの脅威が一般化してきた。これに対しては、ファイアウォールやIDS・IPS、アンチウイルス、アンチスパムなど、さまざまな対策が用意されてきた。しかし、情報漏えいに関しては、こうした今までセキュリティ対策の「セオリー」が通用しない。そのため、多くの企業が対策に苦慮している。

　一番重要なのが、内部からの漏えいが多いということだ。今までのネットワークセキュリティでは、組織外に存在する不正な犯罪者から情報や従業員を守るという図式を元に構築されていることが多い。また、従業員は業務のためにインターネットを利用し、良識のある行動をとるという前提があった。そのため、ファイアウォールも、外部からの攻撃を前提にフィルタリングを行ない、内部から外部への通信は緩やかなルールで対応していた。

　しかし、情報漏えいの場合、多くの調査レポートで裏付けられている通り、事件は普段から情報にアクセスできる内部から漏れるという構造が中心となる（図4）。もちろん、意図的な不正持ち出しは犯罪になるが、従業員の操作ミスや不注意という場合もある。そのため、情報漏えい対策では、従業員自体を情報漏えいさせる可能性のあるユーザーとして扱う「性悪説」的なアプローチが必要になってくる。

図4　内部からの情報漏えい

　性悪説的なアプローチで情報漏えい対策を実現するのは、単にソフトウェアや製品の導入だけでは難しい。そこで、情報漏えい対策においてはまず従業員のIT利用に関する規範を定め、漏えい自体が起こりにくい組織体制を構築することが最重要である。こうした規範のうち、企業ごとに決めたセキュリティ面のルールを「セキュリティポリシー」と呼ぶ。ここには漏えいを防ぐために事前に行なうべき製品の設定や運用のほか、事故が起こった際の対応、罰則まで含まれる。

　また、情報セキュリティを確保した組織の運用を第三者が認定する「ISMS※3適合性評価制度」という。ISMSでは定期的に監査を行なうことで、高いセキュリティを継続的に維持する体制が要求される。これを「PDCAサイクル（Plan-Do-Check-Act）」という。

※3：ISMS（Information Security Management System）　企業などの組織がどのように情報を適切に扱えばよいかを定めた「リスクマネジメント」の体系。セキュリティポリシーや運用体制にまで、基本方針の定期的な見直しなど幅広い範囲におよんでいる。

ITでどこまでできるか？さまざまな情報漏えい対策

　こうしたセキュリティポリシーの構築のほか、さまざまなソリューションを導入することで、情報漏えいに対する高い耐性を確保できる。

　情報漏えい対策製品のうちもっとも一般的な形態が各PCに専用ソフトを導入し、これらをサーバで管理するクライアント／サーバ型の情報漏えい対策ソフトである（図5）。こうした情報漏えい対策ソフトは、ハミングヘッズの「セキュリティプラットフォーム」やエムオーテックスの「LanScope CAT5/6」、日立製作所の「秘文」など国内のベンダーから数多く提供されている。おおむね以下のような機能を提供する。

図5　情報漏えい対策ソフトの機能

ユーザー認証

　ユーザー認証により、正当なユーザーやコンピュータを識別する。情報へのアクセス権限を規定するための前提となる環境であり、情報漏えいに留まらない、基本的なITインフラといえる。マイクロソフトのActive Directoryのほか、LDAP※4、RADIUSなどのディレクトリサービスなども利用される。

※4：LDAP（Lightweight Directory Access Protocol）　ネットワーク上のユーザーやコンピュータなどを管理する、ディレクトリサービスを実現するためのプロトコルの1つ。Active Directoryも採用している。

漏えい操作の防止とログ

　情報漏えいにつながる作業自体を禁止する。サーバからローカルPCへのファイルのコピーや印刷、名前変更などの操作をファイルやフォルダ単位で禁止したり、管理者に警告する。

　ユーザーごとの操作履歴を改ざん不可能なログとして収集することで、ユーザーへの抑止効果を提供すると共に、実際に情報漏えいが起こった際の証拠採取に利用できる。また、ログは障害の原因を特定するためにも活用される。

情報の暗号化

　機密となる情報自体を暗号化したり、隔離する。対象となるフォルダやファイルなどを選択し、正当なユーザー以外読めないようにしておく。これにより、PCの盗難や置き忘れなどがあっても、機密情報を不正に読み取られるのを防げる。

デバイス＆アプリケーション制御

　デバイス制御は漏えいのツールとして利用されやすいUSBメモリやCD-R、MOなどのリムーバブルメディアなどの利用を制限する。また、アプリケーション制御は、WinnyやShareなどのアプリケーションの利用をポリシーに応じて制限する。ログの収集や管理者への警告と併用される。

　そのほか、こうした情報漏えい対策ソフトでは、OSやソフトウェアのライセンスを調べる「資産管理」、セキュリティパッチやアンチウイルスの定義ファイルなどを自動配布する「ファイル配布」、ファイルサーバやグループウェアなどの「サーバ監視」などの機能も併せて提供している。

　こうした情報漏えい対策ソフトは、漏えいの可能性のあるクライアントPC側で対策するため、ユーザーへの抑止効果も高い。ただし、クライアントごとにソフトウェアを導入しなければならないので、一般的にはコストがかかり、管理も面倒になる。