情報漏えいを防ぐための4つのキーポイント

この記事をシェア

IT化の進む現代の企業・組織において、内部の情報をしっかりと守ることは必須の課題となっている。どのような規模・業態でも狙われており、日増しに外部からの攻撃は激化し、手法も多様化している。そうした中で、現時点で最低限行っておくべき情報漏えいのチェックポイントとは何か。

この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。

情報漏えいを防ぐための4つのキーポイント

情報漏えいは、さまざまな方法、さまざまな場所、さまざまな次元で起こり得る。もちろん、組織としてはその中でもどこが弱点なのかを知っておくことが重要である。しかし同様に重要なことは、安全で保護された環境が維持されるように全力を尽くすことである。

以下では、防御の「死角」を埋めるための4つのポイントをまとめてみた。

1 セキュリティ意識を高める

しばしば議論されるように、セキュリティ対策をしっかりと行おうとするならば、何よりも「人」から始めなければならない。結局のところ人為ミスが最もよくあるデータ侵害の原因である。セキュリティソリューションは単に、その原因を突き止めることができるにすぎない。セキュリティを適切な状態にすることは、技術的な面だけではなく、それを利用している人たちの知識や対応能力といった側面の強化も必要である。

「人」を中心とした、このようなセキュリティ対策には、どのくらいの作業が必要とされるのだろうか。実はすでに2012年の段階で、どれだけ準備のできていない会社があるのかが明らかになっている。ESETの研究によれば当時、68%もの回答者がセキュリティ保護に関する訓練を何も受けていなかったのである。

確かに今は、当時よりも事態は少しばかり良くなり、各社、各組織においてセキュリティ教育がよく行われるようになっている。だが、まだまだやらなければならないことがある。賢明な組織は常にサイバーセキュリティ強化の努力を行っている。例えば、全社レベルで強力かつ中身の濃い研修を行って対処しようとしている。CEOから一般社員、場合によっては出入り業者まで、全ての人を巻き込み、双方向的で印象に残りやすいセッションを数多く行い、フィッシングやマルウェアの脅威について理解を深めてもらう努力を行っているのである。

重要なのは、セキュリティ意識とは、紙面上の評価や毎週恒例のメールによる警告情報のアップデートにとどまるものではないということだ。効果がはっきりと見えなければならないし、上記の全てと関係しなければならず、最終的には、誰もが興味をそそるものでもなければならない。さらには、定期的、継続的なものでなければならない。サイバー犯罪は常に進化し続けているからだ。

エンドユーザーのセキュリティ意識を高める訓練を実施することは、決して時間の浪費ではない。会社にとって大きな利益をもたらすもの、と見なすべきである。特に会社の文化(企業風土)を、よりセキュリティに向かわせることが望ましい。従業員への訓練は、データ侵害を引き起こしてしまうようなミスをなくすとともに、例えば、内部者の怪しいふるまいに気付くようになるなど、より多くの情報を新たに提供することにもなるのである。

2 データやデバイスを暗号化する

暗号化は、IT業界において最も時事的な話題の一つである。政府機関と技術者たちとの間では仲たがいが起こっているのではないかというほど、議論が白熱している。しかし大部分の人々は暗号化をもっと広めようとする技術者たちの意見を支持しているようだ。何より、スティーヴン・コッブ(Stephen Cobb、ESETシニアセキュリティ研究者)が2014年に記しているように、「秘匿情報を暗号化するべき理由は100万以上ある」からである。

なぜ暗号化はそれほど効果的なのだろうか。暗号化は、保管されているものであれ運用されているものであれ(ほぼ)いつでもデータを保護できるからである。データとデバイスの暗号化は、中間者(man-in-the-middle)攻撃や不正アクセスによってサイバー犯罪者がデータを盗み出す機会を減らしてくれるのである。

組織はためらうことなく機密情報とデバイスを全て暗号化すべきであり、暗号化をルール化することをお勧めしたい。従業員のデバイスにも実装することが望ましい。可能性のあるデータ漏えいを減らすことが、今後の企業の存続に大きく影響するのである。

3 データを有効に管理する

ビジネスにおいては取引先や販社、消費者に対して、どのような情報が共有されているのか、そして従業員がネットワークで何をしているのかを知っておかなければならない。結局のところ大量の端末が関わっているため、ネットワークのトラフィックを監視することが重要となる。

キャメロン・キャンプ(Cameron Camp、ESETマルウェア研究者)が説明したように、「もしあなたが自分の情報がどこにあるのか把握していなければ、合法的にそれを保護することができないかもしれないし、あるいはトラブルに巻き込まれた際に、異なる海外の管轄権内で何が発生するか把握できないことになる」のである。

専門家は、場合によってはデータベースの監視ツールを使用することも示唆している。このツールにより会社はデータベースへのアクセスを監視できるからだ。管理者はこれにより異常な行動があれば直ちに通知を受け、詳しい事態を把握することができるようになる。従業員がダウンロードしたり、複製、削除したり、あるいは機密情報を実装したりすることに対して監視できるのである。

いわば、こうしたふるまいに関する監視は、必須と言える。それに加えて、ルールの設定や外部とのやりとりにおけるチェックも併せて用いられるべきである。特に従業員のふるまいを制限することは、不正サイトや侵害されたサイトから不正プログラムをダウンロードさせるような攻撃が増加している昨今、極めて重要となるだろう。

何はともあれ、自身の環境で何が起こっているのか、常に注視しなければならない。そして、不正な挙動やそれに準ずる行為を見つけ出すためには、しっかりとデータの記録やログを取得するとともに、十分に訓練を受けたセキュリティ関連のスタッフも必要とされるだろう。

4 端末を防御する

昨今では、多くの従業員が個人所有のモバイルデバイスをビジネスに用いている(=BYOD)。こうしたハイテクノロジーの時代には端末の管理が会社の情報セキュリティにおいて必須となっており、CIOたちもその重要性を認めているところである。

確かにモバイルデバイスは紛失したり盗まれたりした際には、遠隔操作で所在を確認したりロックを掛けるなどの操作が可能である。だがたとえそうであっても、企業は今、社内ネットワークにアクセスする個人のデバイスを監視するとともに集中管理を行う仕組みを持つべきであろう。そして、従業員とのしっかりとした意思疎通も必要であろうし、BYODポリシーの制定も推奨される。こうして初めて、従業員と雇用者も共にモバイルデバイスの管理と保護が可能になるのである。

さらに端末へのセキュリティとしては、遠隔操作におけるワイプ操作、ディスク上の暗号化、端末データのバックアップなども含まれるべきである。結局のところ全てのデータは、消失したのであれ盗まれたのであれ、または暗号化を施された場合であれ、バックアップをしておくことが、最大の防御となる。

この記事をシェア

情報漏えいのセキュリティ対策に

サイバーセキュリティ
情報局の最新情報を
チェック!