Please note that JavaScript and style sheet are used in this website,
Due to unadaptability of the style sheet with the browser used in your computer, pages may not look as original.
Even in such a case, however, the contents can be used safely.

キヤノングループの皆さまへ
NEC Mail Magazine for Canonグループ様
情報セキュリティ最前線 その(2) 増える情報、減らない漏洩 

情報セキュリティ最前線 その(2) 増える情報、減らない漏洩 

2014年7月、大手通信教育業B社の顧客情報漏洩が大きく報道されました。この事件では顧客名簿が名簿業者14社を通じて数百社に転売された可能性が指摘されています。

情報漏洩はなぜ起こるか?

この事件をきっかけに、社内の機密情報や個人情報が意図的に盗み取られないような対策を強化したり、社内規定を改定したり、社員教育を徹底しているという企業も少なくないでしょう。
しかしながら、大きく報道されないまでも日々、情報漏洩をはじめとするセキュリティ事件・事故が頻発しています。

2014年10月1日~10日までの10日間で“情報セキュリティ”というキーワードで国内で報道された事件・事故をピックアップしてみました。

2014/10/10
従業員が顧客情報を数回にわたり売却 –卸A会社
2014/10/10
2店舗で相次いで盗難事件発生、顧客情報も被害に – 小売B企業
2014/10/08
保管期間満了前の申請書など約12万件を誤廃棄 – C自治体
2014/10/07
「CC」送信で顧客のメルアド5388件が流出 – D製造業IT会社
2014/10/07
住宅ローンの契約書類などが所在不明に – E地方銀行
2014/10/06
誤送信でイベント応募者のメールアドレスが流出 – F電鉄会社
2014/10/06
業務用携帯電話を帰宅途中で紛失 – G電力会社
2014/10/03
被保険者証の返納依頼文で誤記載、個人情報流出 – H公益法人
2014/10/03
マドリッドのカフェで個人情報入りHDDが置き引き被害 – I地方大学
2014/10/01
J物流企業、会員サービスで3万4000件の不正ログイン

これらの事件・事故はなぜ起こるのでしょう?

(1) 意図的な犯行 = 内部不正=

悪意をもった意図的な犯行は外部からのサイバー攻撃と内部からの情報漏洩とがあります。内部漏洩の根本原因は、不満・不服・不公平感等の内部社員/職員/委託業者の感情です。情報処理推進機構(IPA)の内部不正に関する報告書によると、従業員が挙げた内部不正の犯行動機を高める要因としては、「不当に感じる解雇通告(34.2%)」「給与への不満(23.2%)」「人事評価への不満(22.7%)」など、組織における評価への不服が主になっています。(経営者や管理者など110人、企業の一般従業員3000人を対象としたアンケート結果)

内部不正を抑制するために、システムによるアクセス権の制御やアクセスログの追跡等しくみで防御する等の対策をとっている企業も多いようです。しかしながら根本課題である社員“感情”への対策はあまりとられていないのが実態です。
対策としては、社員の勤務態度のチェック、上司評価への不満等を外部カウンセラーがアンケートを取って確認するなど、人事考課面での社員ケアをすることが考えられます。そうした取り組みの一例として、俗に360度評価と言われる、上司、部下、同僚、他部門で一緒に仕事をする機会のあるメンバー等、社内の多方面に定期的にアンケートを実施して社員評価の妥当性やトラブルの予兆を監視する企業もでてきています。

(2) 事故による情報漏洩 =うっかりミス?

公的報告のあったセキュリティインシデント件数について2011年と2013年とを比較すると約3倍となっているとの報告があります。悪意を持ったサーバ攻撃も増加していますが、実際にはその原因の80%以上は「事件」ではなく「事故」です。つまりうっかりミス?によるものです。NECのヘルプデスクにおいても情報漏洩インシデントの問合せが増えていますが、情報漏洩に関する問い合わせのうち89%は事故によるもの、という統計結果が出ています。

それらは本当に無意識のうっかりミスなのでしょうか。確かにまったく本人が意識していない間に情報が抜き取られていたり、漏れてしまったりすることもあるでしょう。しかしながら事故のほとんどは、このぐらいなら大丈夫、という「軽い気持ち」から起こってしまっているのです。ここでもまた、人の一種の感情=モラルが問題になります。

本来持ち出してはいけないデータを、「プロジェクトの納期に間に合わせるため」に「1日だけなら」と持ち帰った際にUSBメモリをなくしてしまったり、1時間だけだからよいだろうと帰宅途中の居酒屋でカバンをあずけた際に、お酒に酔った他人が自分のカバンを間違えて持ち帰ってしまったり、当事者が規則違反だとわかっていたにもかかわらず、このぐらいならいいだろうと行動した結果の事故が多いのです。

教育徹底+事前告知でも....

ある国の機関で、事前にメールにて告知をした上で電子メールに疑わしいファイルを添付して全職員に送信したところ、全員が教育を受けており、添付ファイルを開く前にアラートが出ていたにもかかわらず、そのファイルを受信した職員の約1%近くが添付ファイルを開けてしまった、という結果が出たそうです。
これらの職員は、教育を受けてセキュリティの大切さを十分理解していると自己評価していました。ファイルを開けてしまった理由としては、「自分が関与しているプロジェクト名だったから」「社内のメーリングリストでの配布だったから」「添付ファイルがあると即開く操作を常にしているので、無意識で開けてしまった」等です。
この結果が示唆するのは、どんなに教育を徹底しても、ごく一部の従業員は、必ずセキュリティ意識を高めきることができなかったり、うっかりミスをしてしまったりする危険性が極めて高いということです。

情報セキュリティ海外事情

インターネットの普及とともに全世界的に情報漏洩事件・事故 が増えています。このコラムで焦点をあてている、社内からの情報漏洩における根本的な原因は「人」の感情や意識にあるため、対策はその地域の従業員特性等を考慮して、検討するべきでしょう。

欧米事情とその対策

欧米諸国では、雇用関係が契約により厳格に定義されているため、問題発生時にも当事者責任を追及することで解決をはかることができます。また、IT担当者の社会的地位や報酬が高いこともあり、情報システム管理・運用者の内部犯行による情報漏洩の数は多くありません。 雇用契約に情報漏洩の責任が当事者にあることを明示したり、損害賠償金額の前例を掲示したりすることにより、従業員個人の責任意識を高めることで漏洩防止を徹底することが有効です。それに加えて、うっかりミスを防止するためにデータやファイル、ハードディスクを暗号化し、万が一盗難にあっても企業内ネットワークにつなげない限り(認証されない限り)データが解読できないようにする対策が必要でしょう。

アジア、新興国事情とその対策

アジア諸国や新興国では、機密情報や個人情報のセキュリティ意識が希薄です。20年前の日本の事情を考えてみてください。同様の意識のもとで当時の何万倍ものデータ(情報)が流通しています。セキュリティ施策を特に強化する地域であることは間違いありません。 
新興国、特に製造業が生産拠点を置く地域では、情報インフラの整備がまだ整っておらず、ネットワークが不安定だというところもあるでしょう。したがって、この地域のセキュリティ対策は、情報漏洩のリスク=情報価値+漏洩による賠償や風評被害と、社員が業務遂行する上での利便性とのバランスをとることが大切です。
つまり、ネットワーク事情を考慮しながらも、欧米における暗号化対策に加えてデータを集中制御し、従業員のパソコンやスマートデバイスにはデータを保持しないという仮想クライアント(シンクライアント)化の広範な適用を考えなければならないでしょう。

日本国内の事情とその対策

日本国内では終身雇用制度を採用している企業も多く社員教育も徹底しているので、欧米と同様の対策でよいのではないかという意見もあるでしょう。しかしながら、日本における情報セキュリティの問題は、欧米のように当事者責任で解決できる問題ではありません。事業主=会社責任が問われるため、企業は、情報を十分留意して取扱い、漏洩させないための策を講じている必要があります。新興国とは別の理由で情報を持ち出させないための仮想クライアント化の適用を考えるべき地域です。

情報セキュリティ対策のグローバル最適化

情報システムやネットワーク環境は、めまぐるしく変化しています。ソーシャルメディアの台頭やタブレット活用等の例にもみられるように、新しい技術やサービスが急速に広がり、ビジネスにおける情報システムにも影響を与えています。そのため、何が最適な対策なのかは、企業ごとに拠点の配置や役割、顧客サービスの向上や費用対効果等を考慮して決定した上で継続して見直さなければなりません。
上記のような海外事情と対策においても、情報にアクセスするためのパスワード等の認証設定やアクセス制限のルール、情報アクセスの履歴管理や監視方法等をグローバル共通にするのか地域ごとや事業ごとに変えるべきか等、議論の余地を残します。

NECグループの情報セキュリティ対策

9月号でNECの標的型攻撃対策について少し触れましたが、今回はもう一歩ふみこんだNECの対策をご紹介します。

NECはグループ全体が総合力を発揮するために「NECグループ経営ポリシー」を定め、事業遂行に関する各種ルールの共通化、制度・業務プロセス・インフラの統一を行い、グローバルスタンダードな経営基盤を実現するためのベースとしています。「情報セキュリティポリシー」はそれにのっとって方針やガイドライン、規則を策定し実践します。ここで重要なことは、経営層と管理者とが「継続した監視と評価、仕組みの改善と指導」を行うことです。また、ステークホルダーへのタイムリーで適切な情報開示も必須事項です。

情報漏洩の対策としては、暗号化、仮想クライアント化のほかに、アクセス監視やデータ活用状況の見える化も行っています。社内の電子ファイルへのすべてのアクセスログが履歴として残され、内部犯行の抑止効果を高めています。
「人」に対する教育も、試行錯誤しながら強化しています。Webでの全社員教育は毎年必ず実施しています。規程により義務化しており、構内常駐のお取引先(委託先)作業者も受講が義務付けられています。そのほかにも社内ポータル、電子メールによる情報発信、周知、再発防止のための緊急通知(事例に基づく注意喚起)、事故事例の公開や、部門内での管理推進者を中心にした部内の周知活動を業務の一環として行っています。
しかしながら、これで十分だということはないという認識のもと、セキュリティ人材育成や第三者や政府機関と連携して継続した啓蒙活動を推進しています。

2014年4月~6月の3か月間で欧米や日本等の政府機関が発表している主要国でWebで公開報告されたは情報漏洩は200件以上あります。被害にあったデータ件数は1億件以上にのぼります。企業の貴重な情報資源やお客様の貴重な個人情報が漏れることなく、安心・安全な業務遂行を実現するために、経営から現場まで徹底した対策を継続して更新する必要があるようです。

●管理者の内部犯行による情報漏洩を防ぐ「内部犯行対策ソリューション」については、こちら

IPA 独立行政法人 情報処理推進機構のサイトには、「組織における内部不正防止ガイドライン」および「内部不正チェックシート」などがございます。ぜひご活用ください。

●NECの「情報セキュリティ対策ソリューション」のご紹介については、担当営業までお問い合わせはください。