2010年代に入りスマホを利用した個人の情報発信が加速。それと並行して、不正アクセスなどによる手法以外での情報漏えいが目立つようになってきている。特に、ITリテラシーが高くないユーザーによるうっかりミスや自覚がないまま、おこなわれる情報漏えいが散見される。このような状況を受け、個人・企業を問わず情報漏えい対策を改めて考える必要がある。本記事ではその際に押さえておくべき3つのポイントを解説する。
情報は重要であるという認識の高まり
日本国内における不正アクセスや内部からの持ち出しによる企業の情報漏えい。JNSAによる2018年度の調査では、前年より57件増加し、443件に及んでいる。すなわち、1日に1件以上、日本のどこかの企業で情報漏えいが発生していることになる。テレビや新聞などのメディアを通じて多くの情報漏えいが報じられており、情報漏えいが与えるインパクトを多くの人々が理解しつつある。
しかし、転じて企業の一従業員として見ると、情報の重要性について意識がさほど高くないように思われる。特にセキュリティ教育や対策に予算を投じることが大きな負担となる中小・零細企業の従業員などではその傾向が顕著となる。その背景には以下のような先入観が影響しているものと考えられる。
- 自社にはサイバー攻撃者が狙うほど価値のある重要な情報など存在しない
- 自社の情報が流出しても、情報に価値がないため被害など生じない
- そもそも自社内に持ち出す人などいない
たしかに企業の規模や業種で重要な情報をどれほど蓄積しているかは大きく異なる。だからといって、中小・零細企業で重要な情報がゼロというわけではない。企業の重要な情報の分量、すなわち情報資産の大きさは以下の式のように因数分解できる。
情報資産の大きさ = 質(取り扱う情報の特性) × 量(保有する数、取引先の数など)
企業が所有する情報の重要性は「取り扱う情報の特性」に依存する。これはあくまで主観ではなく客観的に判断されるべきものである。そのため、主観的な判断で自社には重要な情報が存在しない、という理屈は成り立たない。例えば、自社業務のマニュアルはすでにその業務を頭に叩き込んだ従業員にとっては価値がないように思える。しかし、そうしたマニュアルに記載されたノウハウは、同じような業務をおこなう企業にとっては非常に価値があるものとみなすこともできる。
そして、それらの量と比例して、情報資産も大きなものとなる。業務全体で何十、何百とマニュアルがあれば、それは立派な情報資産といえる。何かしらの規制をかけなければ、この情報資産を換金しようと企むような従業員が出てこないとも限らない。このように、情報資産となる「自社の重要な情報」について考えることが企業の情報漏えい対策の第一歩となる。以下、3つの考えるべきポイントをそれぞれ解説していく。
1. 自社の「重要な情報」が何かを整理する
企業によって「重要な情報」と定義されるものは異なる。一般消費者に対して物販やサービスを提供していれば、社内には多くの個人情報データベースが存在することになる。当然、そのデータベースは重要な情報とみなすことができるだろう。あるいは製造業の企業の場合、何かしらの特許をもって生産をおこなっているのであれば、特許に関するデータ、技術的な設計データは重要な情報となる。加えて、原材料の調達先一覧なども同様である。企画立案と実行がメインの企業ならば、企画書、実行計画書、実行時のマニュアルなども重要な情報に該当するだろう。
このように企業は営業活動をおこなう上で、他社との差別化ポイントを有している。個々の企業に存在する「差別化するための何か」、これこそが重要な情報といえる。
2. 「重要な情報」が漏えいしたときの被害を想定する
被害状況を順序立てて特定する
自社にとって重要な情報を定義できたら、次に考えたいのはその情報が流出した時の被害を想定することだ。まず早急に追求すべきは「3W」となる。すなわち、「WHAT:流出した情報」、「WHEN:発生日時」、「WHERE:流出が起こった箇所」のこと。流出事故発生後、限りなく迅速にこれらを特定し、まず初期報告をおこなうことになる。その後、「HOW:どういう方法で流出させたか」を特定し、被害拡大を防ぐ対応をおこなう。犯人特定や流出経緯、そしてそれらを踏まえた再発防止策などはその後となる。
このような一連の動きを事故発生後、速やかにおこなえるよう事前に手順を確立しておく必要がある。もちろん、手順の確立だけでなく、特定のために必要な投資もおこなうことが求められる。
被害発生時の損失額を推測する
- 原因調査にかかる被害
第三者への調査依頼費用や社員の人的リソースの必要性、原因究明までのサービス・製造停止による損失など - 補填
個人情報を漏えいした場合などに生じる、お詫びとしてのユーザーへの補填など - 直接損害
メディアなどで報じられることで、短期的に売上が減少するなど - 機会損失などの間接損害
インシデント発生により以降の取引機会を逸するなど - イメージ失墜
情報漏えいはもはや「犯罪」と同列にみなされがち、それゆえブランドイメージの失墜は逃れない
特に、最近では大手企業を中心に「サプライチェーン攻撃」を意識し、取引先にセキュリティの堅牢性を求めることが増えてきている。過去に情報漏えい事故を起こした企業に対し、セキュリティを重視している企業が積極的に発注をおこなうだろうか。上記1~5で挙げたように、被害の想定は売上など直接的な面だけでなく、間接的な影響まで含めて考える必要がある。
3. 「重要な情報」をどう守るかを検討する
情報漏えいへの対策は基本的に「外部」と「内部」に分かれる。一般的に「外部向け」がイメージされやすいが、情報漏えいの75%近くが内部要因という調査結果(2018年 情報セキュリティインシデントに関する調査結果~個人情報漏えい編~[速報版]:JNSA調べ)からも、「内部向け」対策が重要であることは明らかである。
外部向けの情報漏えい対策
いわゆる典型的な情報漏えい対策としてイメージされる外部向けの対策、その背景には得体のしれない攻撃者から狙われるという恐怖感もあるかもしれない。しかし、恐怖感に駆られてしまうと対象範囲は無制限で、当然ながら対策に伴う費用も青天井となってしまう。
先に解説したように、自社の重要な情報を定義していれば、外部から狙われる可能性や手段もイメージできるはずだ。しかし、情報の価値が時代とともに高まる中、外部からの攻撃も巧妙化してきている。そして、こうした攻撃手法の進化に応じた対策ツールも世の中には多く出回っている。もっとも基本的なセキュリティソフトのインストールやファイアウォールの構築、そして最近注目されてきているXDRやEDRなどのソリューションまで挙げればキリがない。
これらをすべて導入すればすべての問題が解決されるわけではなく、自社の業態や規模、取引傾向、従業員のITリテラシーなどを総合的に判断して選択すべきだ。IPAでは、新設した資格「情報処理安全確保支援士」の保有者に導入時の相談ができるよう、検索できるデータベースも用意している。このような方法も対策を考える際に検討してみてもいいだろう。
内部向け
先述の通り、情報漏えいの多くは内部から生じている。そのため、まず内部向けの対策は社内で起こりうる要因を見定める必要がある。そのうえで、適切なソリューションを導入することと、社内の規則やルール設定などをおこなっていく。そして、外部向け対策を含めて教育をしていくことは欠かせないだろう。
また、内部要因のうち90%が転職や自身の起業にともなって発生した、という過去の調査結果もある。
同調査では、犯行動機として「組織・上司への不満」が割合として高いことを挙げている。そして、企業と従業員との関係性が弱くなってきていることは巷でもよく言われている通りだ。昭和・平成の時代とは異なり、もはや終身雇用制も崩壊し、従業員の帰属意識は大きく低下している。しかし、「個」を尊重した信頼関係があれば内部で不正を働こうとする動機は低下する。極論を言ってしまえば、仮にデータとしての漏えいは予防できたとしても、従業員の頭の中にある情報までもコントロールすることはできない。その情報を口外されてしまえば、どのようなソリューションも意味をなさない。だからこそ、企業と従業員の間の信頼関係が重要といえるのだ。
その上で、ログの取得、ソリューションの導入はしっかりとやっておきたい。以前の記事にあるように「ログは疑うためにではなく、疑いを晴らすために取得(エドコンサルティング 江島氏)」するものである。「やっていないことを証明するのは『悪魔の証明』(同)」となり、困難を極める。せっかく信頼関係を築いている従業員をもしもの時に窮地に立たせないためにも、合わせて対策を講じておきたい。
まとめ
デジタルテクノロジーが企業の生命線とすら言われるようになり、企業には個人情報をはじめとするデータをどう守るかが問われている。今回の記事で説明してきた通り、守る相手は外部からだけでなく、内部の従業員も対象となることは念頭に置いておきたい。
従業員を「信頼」下に置くためには、適切なルールとツールの運用が求められる。そうすることで、業務遂行のプロセスの中で、何をすべきで何をすべきでないかが明瞭になるためである。そして、こうした対策を適切に講じることこそが、従業員を結果的に守り、業務進行を加速させる取り組みであり、ビジネスをドライブさせていくために必要なことであることを忘れずにおきたい。