セキュリティ機能の重複と不足がもたらす弊害

前回紹介したように、企業の情報漏洩を防ぐ対策としては、大きく以下の5つが挙げられる。

(1) メディアやデバイスそのものの利用を制限する
(2) 暗号化機能付きのUSBメモリなどを利用する
(3) 外部とやりとりするファイルを暗号化する
(4) ディスク/ハード全体を暗号化する
(5) 資産管理やログ管理機能を利用する

一般的な企業では、これらのうちのいくつかを組み合わせて対策を施しているケースが多いのではないだろうか。

だが、ここで注意しておきたいのは、複数の製品やソリューションを組み合わせることが、必ずしもセキュリティレベルの底上げにはつながらないという点だ。これは、複数の情報漏洩対策製品を導入することにより、機能の重複や不足が起こることが原因となっている。

では、具体的にどういった部分で問題が生じるのか。今回は、そのあたりを整理しながら、情報漏洩対策製品を選択する指針を探る。

機能の重複によりムダなコストが発生

情報漏洩対策の各製品/ソリューションがどこまでをカバーしているのかを把握するには、セキュリティ知識と製品知識の2つが必要になる。これらを持ち合わせたシステム管理者は少ないため、複数のソリューションを組み合わせるとなると、どうしても重複や不足が発生しがちだ。

両者のうち、表に出やすいのは重複の方である。

例えば、上記の(2)と(3)を併せて導入した企業で、USBメモリにデータを保存するとしよう。この場合、USBメモリ内のデータには二重の暗号化が施されることになる。

USBメモリを紛失したとしても、よほど暗号化技術に長けたエンジニアでないかぎり、暗号化データの解読を試みたりはしないだろう。したがって、通常のデータなら暗号化は一度で十分である。USBを紛失した際の情報漏洩リスクがわずかに下がる可能性はあるが、明らかな無駄と言える。

こういった問題が生じるのは、(2)を導入した後に、より適用範囲の広い(3)を取り入れる、というような場合に多いようだ。

暗号化ソフトウェアと暗号化機能付きUSBメモリを別々に導入すると、機能の重複が生じる。無駄なコストを支払うことになるうえ、オペレーションも煩雑になる

機能の不足は深刻、気づきづらいという問題も

重複に関しては無駄が生じるだけで終わるのだが、怖いのは"不足" の方である。

情報漏洩対策における機能の不足は、漏洩リスクを飛躍的に高めることになる。しかも、重複とは異なり、普段の運用では気付きづらいだけに厄介だ。特定のベンダーのソリューションで揃えていれば、営業担当者が足りない部分を指摘してくれることもあるかもしれないが、異なるベンダーのものを組み合わせた場合はそうもいかない。ソリューションごとに担当のシステム管理者が異なるようなケースでは、もはや把握は不可能と言えるだろう。

例えば、上記の(1)、(3)、(5)を導入した企業があるとする。この企業では、書き込み可能なメディアに物理的に利用制限をかけたうえ、メールなどで外部に送るファイルには暗号化が施され、万が一のときのために運用ログも記録されることになる。

一見すると、しっかりした対策を施しているように見えるが、実のところ、穴はいくらでも考えられる。例えば、PCの持ち込みや、Webでのファイルアップロードには対応できていない可能性が高い。また、運用ログに関しても、ソリューションによって取得範囲はさまざまで、ユーザーの操作をすべて記録するものもあれば、外部とのやりとりを簡単に記録するだけのものもある。後者を導入していた場合は、オペレーションを再現することができず、情報漏洩を引き起こしたユーザーやファイルを特定できないケースもある。

複数のソリューションを個別に導入すると、対策の漏れに気付きづらい。こちらは重複のケースとは異なり深刻だ。

情報は、セキュリティレベルの低いところから流出する。どんなに高価なソリューションを導入したとしても、全体として見たときに穴があったり、脆弱な製品があったりすれば、対策は十分とは言えない。複数のソリューションを導入して万全の対策を施した気になり、慢心してしまうような状況こそ最大の問題なのである。

管理者/ユーザーの業務効率低下を招くことも

複数のソリューションを個別に導入することで生じるデメリットはほかにもある。その1つが管理者の作業が煩雑になるという問題だ。

例えば、情報漏洩事故が発生し、原因を究明しなければならなくなったとしよう。その際にログ環境が整備されておらず、個々の情報漏洩対策製品のログ機能に頼っているような状況だと、調査に時間がかかることがある。これは、それぞれのログが断片的で、全体としてのつながりがないために起きる問題だ。最終的には、原因究明に至らないということも少なくないようだ。

加えて、ユーザーの利便性を損なうという問題も生じる。コンセプトの異なる複数の情報漏洩対策製品を導入すると、"ユーザーに製品を使い分けてもらう"という運用を強いることになる。これでは、業務効率が落ちるのはもちろん、ヒューマンエラーも起きやすく、事故につながる確率も高い。また、情報漏洩対策製品のエージェントをPCに複数導入した結果、端末のパフォーマンスが落ちるケースもある。

製品選択の指針とは

では、情報漏洩対策を行う際には、どのような点に注意すべきなのか。大きく、以下の3点にまとめることができるだろう。

  • 情報漏洩対策は全体の把握が大切。個別にソリューションを導入すると、「重複」や「不足」が生じやすい
  • 特に怖いのは「不足」。情報はセキュリティレベルの低いところから流出する。
  • コンセプトの異なる複数の情報漏洩対策製品を導入すると、ユーザーや管理者の業務効率を低下させることもある。

ここから言えるのは、企業の担当者がセキュリティレベル全体の底上げを図るうえでは、統合的な対策を無駄なく施せる製品やソリューションを選択するのが望ましいということだ。