内部不正による情報漏えいをどう防ぐ?

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

内部不正による情報漏えいをどう防ぐ?

2016/09/20


 情報漏えい対策において、従業員による内部不正を無視することはできない。発生件数は少なくとも、一度に重要なデータが大量に持ち出されるケースが多い。また、流出した個人情報の中に機微情報が含まれていれば、被害総額は数億円にも達する。現在、ほとんどの企業が「マイナンバー」を保管している。あらためて内部不正による情報漏えいをどのように防ぐべきか検討してみよう。

情報漏えい対策

発生件数では語れない、内部不正による情報漏えいの大きさ

 2014年9月、通信教育大手の「ベネッセコーポレーション」は、大規模な情報漏えいがあったことを発表した。これは業務委託を行っていた企業の社員が、顧客情報を不正に持ち出し、いわゆる「名簿屋」に情報を売却したことで利益を得たというものだった。その結果ベネッセは緊急対策本部を設置、2015年3月期には顧客への対応を含めた情報セキュリティ対策費として、260億円の特別損失を計上した。

 あらためて「情報漏えい」の現状をデータからおさらいしてみよう。日本ネットワークセキュリティ協会(JNSA)のセキュリティ被害調査ワーキンググループが2016年6月に公開した「2015年 情報セキュリティインシデントに関する調査報告書」によると、漏えい原因のトップは「紛失・置き忘れ」、漏えい媒体も「紙媒体」が過半に達する。一方で、サイバー攻撃や内部関係者による不正な情報持ち出しは少ない。

図1 2015年に発生した情報漏えいの原因と、漏えいの媒体/経路
図1 2015年に発生した情報漏えいの原因と、漏えいの媒体/経路
2015年 情報セキュリティインシデントに関する調査報告書」より
出典:日本ネットワークセキュリティ協会

 しかし、これは「事件の件数」だ。紙媒体での情報漏えい1件で漏えいされる情報量よりも、インターネットやUSBメモリなどで行われる情報漏えいのほうが大量の情報を一度に持ち運ぶことができることを忘れてはならない。これら「内部要因」に起因した情報流出を防ぐことは、過失だけではなく故意による情報流出を守ることにもつながる。

 ベネッセの情報漏えい事件以降、多くの企業が「内部不正」に注目をしているだろう。過失、故意による「社内からの情報流出」を防ぐことは重要なポイントになっている。そこで今回は「内部要因による情報流出」をキーワードに、関連するソリューションとその運用の勘所を紹介していきたい。


1

マイナンバーで注目される「情報流出をチェックする仕組み」

 2016年より本格運用が始まった「マイナンバー制度」は、企業における情報漏えい対策も本格化させた。今後マイナンバーは活用領域を医療や金融などにも広げる予定だ。それはブラックマーケットにおけるマイナンバーの価値がさらに高くなるということでもある。当然、企業における情報管理の重要性はより増していくだろう。万が一、マイナンバーを含む個人情報の流出が発生したら、企業の信頼は大きく傷つく。  

 多くの企業ではガイドラインに従ってマイナンバーのためのシステムを導入したり、社内制度を整えたりした。また、自前で強固なセキュリティ対策を講ずるよりも、マイナンバー関連業務を専門に扱う、つまり制度が求めるセキュリティを確保した事業者にアウトソーシングするという選択をしたところもあるだろう。ただし、業務を委託した場合でも委託元に監督責任があることは忘れてはならない。  

 そこで、再注目されているのが情報流出を防ぐ「DLP」(Data Loss Prevention:情報漏えい対策)の仕組みだ。かつてはゲートウェイにおける対策として専用の機器/ソフトウェアを稼働させていたが、現在ではPCにインストールしたセキュリティ対策ソフトがPC内のデータを把握し、重要なデータが外部に送信されることを検知するといった仕組みも用意されている。

図2 機密データの流出を防ぐDLP
図2 機密データの流出を防ぐDLP
機密データと思われる文字列を検査し、それがメールやUSBデバイス、メールなどの経路で動いたときにブロック/通知/ログ記録を行う仕組みが実現できる
資料提供:トレンドマイクロ

セキュリティ情報局にご登録頂いた方限定で「内部不正による情報漏えいをどう防ぐ?」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


情報漏えい対策/内部不正による情報漏えいをどう防ぐ?」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「情報漏えい対策」関連情報をランダムに表示しています。

情報漏えい対策」関連の製品

ITシステム変更管理ソフトウェア Netwrix Auditor 【ラネクシー】 超高速秘密分散ソリューション 「SYMPROBUS Divide API」 【アクモス】 メールからビジネスチャットへ、KDDIグループの「働き方改革」 【KDDI株式会社】
統合ログ管理 その他エンドポイントセキュリティ関連 社内SNS
ネットワーク上に蓄積されたActive Directoryやファイルサーバなどの様々な変更ログを一元管理し、セキュリティ情報や稼働情報などのレポートを自動生成。 電子ファイルを解読不能な断片に超高速で分散するクラウドAPIサービス。暗号化とは異なり、断片ファイルが漏えいしても解読は不可能。DR対策や複数人認証にも応用できる。 メールからビジネスチャットへ、KDDIグループの「働き方改革」

情報漏えい対策」関連の特集


業務においてPCやスマホ、タブレットが活用されている。これは「エンドポイントセキュリティ」の重要性が…



機能を最小限に抑えた端末を用いたシンクライアントの技術。働き方革命に伴って、その仕組みが再び注目を集…



モバイルデバイスの普及に伴い、柔軟なIT利用が可能になる一方で考慮しなければならないのが情報セキュリ…


情報漏えい対策」関連のセミナー

Email Security Conference 2017 大阪 【ナノオプト・メディア】 締切間近 

開催日 9月26日(火)   開催地 大阪府   参加費 無料

    既知・未知の脅威に対抗するための、最新セキュリティ対策とは?           〜事例とデモから紐解く、今すぐできる対策に迫る〜       ■□ 基…

Email Security Conference 2017 東京 【ナノオプト・メディア】 注目 

開催日 9月27日(水)〜9月29日(金)   開催地 東京都   参加費 無料

  「標的型攻撃」「ランサムウェア」「情報漏洩」、「脆弱性対策」など  多様化するサイバー攻撃の最新の脅威動向とその対策について、数々の事例を元に解説します。━…

セキュリティ関連&IT運用管理 製品紹介セミナー 【主催:シースリーインデックス 協賛:Capy/セキュアイノベーション/エクシード・ワン】 締切間近 

開催日 9月20日(水)   開催地 東京都   参加費 無料

ある日突然やってくる脅威、「不正ログインアクセス」と「情報漏えい」問題。また、セキュリティ脆弱性診断と日々膨れ上がるAD運用の軽減に向けて、4つの製品をご紹介さ…

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3 | 4 | 5


30008942


IT・IT製品TOP > エンドポイントセキュリティ > DLP > DLPのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ