情報漏洩ワースト3業種はどこ？

　情報漏洩を引き起こすのは、結局は主に人間の行動であることがよくおわかりいただけただろう。「セキュリティ登龍門50」では、各種のツールを使った情報漏洩防止対策についてこれまでも紹介してきたが、今回は特にアイデンティティ管理について紹介したい。
　なぜアイデンティティ管理が重要なのかは、情報漏洩インシデントの例からわかるように、システムへのアクセス権限を管理し、権限に沿った行動がとられているかどうかを検証できる仕組みがあれば、多くの情報漏洩インシデントが予防できると考えられるからだ。
　日本の雇用形態の大きな変化も無関係ではない。以前のように終身雇用制が通例であった状況と異なり、現在では企業内の人材の入れ替わりが激しい。企業の買収・統合も少なくない。従来は、企業に対する個人のロイヤリティに頼った、いわば性善説的な運用がなされていたが、現在ではそれが通用しないのが実状だ。したがって、しかるべき人物にしかるべき権限を付与し、不要になれば削除するという運用を徹底しなければ、悪用されてしまう危険性は大きい。
　もっとも、正当な権限をもった人間が正当な手続きで情報にアクセスし、持ち出しをした場合には、アイデンティティ管理システムでは阻止することはできない。しかし、誰がそれをしたかは、システム側のログから割り出すことができるため、抑止力としての効果は大きい。また、情報の持ち出しは必ずしも情報システムを利用するとは限らないため、アイデンティティ管理が完全に不正行動を予防・検知できるわけではない。とはいえ、百万人分のデータを紙の状態で誰にも知られずに持ち出すことは困難な作業だが、USBメモリにデジタル化された名簿情報をコピーするにはほんのわずかの時間があればよく、セキュリティログを取っていなければ、その行為を見とがめられるリスクは非常に少ない。したがって、USBメモリなどによるデータの持ち出しに対しても十分な対策が必要なことは明白だ。