昨今、企業からの大規模な情報流出事件が頻繁に報じられている。これを受けマイナビでは、2014年11月6日「企業の信用が一瞬で崩れ去る"情報流出"を、根本的に防ぐための方法とは?」と題したセミナーを開催する。これに先立ち、セミナーの最終幕でDLP(Data Loss Prevention:情報流出防止)についてのセッションを担当する、マカフィー株式会社 セールスエンジニアリング本部 倉持由紀子氏に、企業の情報漏えい対策の現状と、対策を取るうえでのポイントについて聞いた。
「なかなか進まない」「機能していない」- 情報漏えい対策の課題
マカフィー株式会社 セールスエンジニアリング本部 パートナーSE部 |
「スマホからSNSやブログなどへ簡単にコメントをつけられるようになったことで、情報を漏えいしてしまった企業への評価は、以前よりも大きな傷となって残ります。自社が同様の事件・事故の当事者になってしまった場合のことを考えて、危機感をお持ちの経営層の方も多いですね」
これまで数々の企業のセキュリティ対策に携わってきた倉持氏だが、情報漏えいのパターンが多様化する中、万全の対策が整っている企業は多くないと考えている。
「数年ほど前、漏えい対策の製品が本格的に出始めたころ、一度は導入を検討したものの、途中で挫折してしまった企業も多いようです」
DLPソリューションについて「簡単に導入できる」「導入してしまいさえすれば、それで情報は安全」という認識では、思わぬ壁に妨げられるという。DLPをきちんと機能させるためには、社内のどこにどのような情報(データ)があるかを把握したうえで、「誰がどの情報をどう扱えるようにするか」というポリシーを明確にしなければならず、その作業で多くの企業が停滞してしまうのだ。
さらにポリシーの策定のためには、組織全体のコンセンサスを取り付ける必要があるが、情シス担当部署だけではそこまで手が回らないことも、対策を遅らせる要因となっている。
また、対策は講じていても「すべてのデータに対して何か手を打たなければならないのではないか」「あそこもここもブロックしなければ」とがんじがらめになってしまい、ツールの活用がうまくいっていないケース、自社からの情報がどういう経路で外部に出ていくかを把握しきれていないケースなど、なんらかの問題を抱えている企業は多いという。
倉持氏の講演も行われる「内部情報漏えい対策セミナー ~企業の信用が一瞬で崩れ去る"情報流出"を、根本的に防ぐための方法とは?~」申込はこちらから |
最新のDLPソリューションにできることとは?
こうした状況について、まずは「現状、どんなリスクがあるか」を把握しないと対策は進まないと倉持氏。そのうえで、段階的にでも対処を継続して進めることが重要となる。
多くの企業で最初に必要なステップは、前述の通り、DLPソリューションを十分に活用できるようにするためのポリシーの策定だろう。今回のセミナー「企業の信用が一瞬で崩れ去る"情報流出"を、根本的に防ぐための方法とは?」では、それにつながるID管理・権限管理についての講演(紹介記事はこちらから)もあるので、ぜひ参考にしてほしい。
ポリシーの策定後に検討すべきDLPについて、セミナーではマカフィー製「Data Loss Prevention Endpoint」や「Device Control」(USBメモリなどのデバイス制御)、「Data Encryption」(HDD暗号化)などのソリューションをベースに、具体的な施策例と効果が紹介される。
例えば、「Data Loss Prevention Endpoint」には、ファイルにタグを付けることで、そこに記されたデータを、ポリシーに基づいた運用管理下に置ける機能がある。これにより、USBメモリへの書き込みをブロックしたり、メールが送信される場合に暗号化したり、特定のユーザーにのみ閲覧を許可したりと、複雑な条件下でも、自動で厳正な管理ができるようになり、不用意な情報流出を防ぐことが可能になる。
さらに、セミナー当日は、最近起こった実際の情報漏えい事件をベースに、「このとき、どうすれば漏えいを防げたのか」「どういう対策を取っていれば、犯罪を抑制できたのか」といった検証も行われる予定だ。
トップダウンで対策の停滞を打破できる?
「過去に担当したお客様の場合、トップダウンの体制が整っているとスピーディに対策が進みますね。情シスの方は、セキュリティについてかなり豊富な知見をお持ちの場合が多いのですが、上層部からのあと押しがないと動きにくいという面もありますので」(倉持氏)
最新ソリューションに関心がある情シス担当の方はもちろん、「自社でもDLPに取り組もうとしている」あるいは「途中で断念したままになっている」という企業経営層の方も、ぜひ今回のセミナーに参加して、今、必要とされている対策の概要をつかんでいただきたい。