ガートナー ジャパンは10月31日から11月2日にかけて、年次カンファレンス「Gartner IT Symposium/Xpo 2022」を開始した。
本記事ではその中から、「情報漏洩対策の再考:新しい時代の内部不正リスクに備える」と題した講演の内容を紹介する。
従来、情報漏えい対策は、ユーザーは決められた場所で情報をあつかうことを念頭に行われてきた。代表的な対策方法としては、事業計画や個人情報といった社内の機密情報の定期的な棚卸しや、従業員を対象にした一律なセキュリティ教育・検知、PC操作ログの取得などが挙げられる。
しかし、講演に登壇したガートナージャパン リサーチ&アドバイザリ部門 ディレクター アナリストの矢野薫氏は、「リモートワークの環境を作るためにモバイルやクラウドの利用が進み、情報漏えい対策の再構築を考える段階にある」と指摘し、情報漏えい対策の再考ポイントを3つ挙げた。
セキュリティの役割、責任、実施内容を見直す
1つ目が、「情報の種類と場所の把握を定常的に行えるようにする」ことだ。
閉域でオンプレミスな環境だけでなく、今やさまざまな情報がクラウドに散在している。ユーザー部門がSaaSを契約して使うことも珍しくなく、1人で複数台のデバイスを利用していることもある。
「年に1度の棚卸しで情報の所在を把握できている、と経営者は自信を持って言えるだろうか。毎日の業務の中で情報の種類と場所をトレースできる環境が必要ではないか」と矢野氏は提言。具体的な対応として、守りたい情報の種類に応じて各事業部門におけるセキュリティの役割、責任、実施内容の見直しを挙げた。
ガートナーがこれまでコンサルティングに携わってきた日本の企業では、事業計画や知的財産、個人情報、見積書などを「機密情報」と一括りにされていることが多く、それらを守る担当や漏えいした際の責任の所在があやふやなことも珍しくないそうだ。