 |
   |
| Up Front Opinion|Another side Talk|巻頭特集|Open Source Solutions|ソフトウェアライセンス| IT活用 |売れるショップ|ビジネストレンド|イベント |
 |
||
| 2007年1月時点の情報を掲載しています。
|
||
 個人情報保護法の施行から時間が経過したせいか、最近では日本版SOX法に関連したITソリューションの記事や広告を多く目にするようになってきた。しかし、情報保護に対する取り組みは、法令の施行直後だけのものではなく、企業活動を継続していく上において、永続的に発生する責任となっている。マスコミでも、かなり大型の漏えい事件しか取り上げられなくなっているが、現実には数件〜数百件単位の情報漏えいは日常茶飯事で起きている。そうした課題から、企業を守る対策について考えてみた。 情報が漏えいしてしまう仕組み そもそも、どういう経緯で情報の漏 えいが発生してしまうのだろうか。そ の代表的な事象をまとめてみると、大 きく三つに分かれる。「盗難」「紛失」 「誤操作」である。まず、「盗難」は明ら かに犯罪目的で行われる情報漏えい だ。外部だけではなく内部からの情報 の盗み出しも、過去に大きな事件とな っている。次の「紛失」は、もっとも多 いケースだ。ノートパソコンやUSBメ モリなどを出先や移動中の社内に置 き忘れてしまい、そこから情報が第三 者の手に渡ってしまう。中には、車内 に置いたノートパソコンが盗まれてし まう例もある。つまり紛失の多くは、 情報を何らかの形で外部に持ち出した ときに発生する。それに対して三つ目 の「誤操作」は、主に電子メールの送信 などで発生する漏えいだ。あて先を 間違えたり、添付するファイルを間違 えるなど、最近ではこの誤送信による 情報の漏えいが増えている。幸いな ことに、送った相手も内容も、事件に なるほどの深刻なケースは多くはない が、電子メールが当たり前になってい る現在では、今後も脅威は増していく。 このように、情報漏えいには考えな ければならない三つの問題があり、そ れぞれに対処方法が異なる。しかし、 どのような漏えい経路であっても、情 報を水際で守る方法はある。 情報を守る最後の砦が暗号化 盗難か紛失か誤送信かに関わらず、 意図しない第三者の手に渡ってしまっ た情報を最終的に保護する方法は、暗 号化しかない。暗号化された情報は、 その解除コードやパスワードを知らな ければ、仮に犯罪者の手に渡ってしま ったとしても、内容が閲覧されること がない。暗号化は、古くて新しい情報 保護の技術だ。ITが発達する以前か ら、競合する相手に情報を閲覧され たくない場合に、さまざまな暗号化技 術が用いられてきた。例えば、文字の マッピング表を送り手と受け手で共有 しておいて、その表に基づく暗号を作 成する。途中で密書などが盗み出さ れたとしても、マッピング表がなけれ ば文書の意味は解読できない。マッピ ングの手法も、単純に文字をずらすだ けのものから、複雑なコード表を作る ものまで、過去には多様な仕組みが考 え出された。IT技術では、主に擬似的 な乱数を使って、元の情報が読み取れ ないようなデータの羅列にする。少し 厳密さには欠けるが、イメージとしては 未契約のWOWWOWなどの映像がス クランブルされて映されているような 印象に近い。解除のための鍵やパス ワードがなければ、正しい情報には復 元できない。インターネットでは、 SSL(Secure Socket Layer)と呼 ばれる暗号化された情報を送受信す る仕組みが広く利用されている。これ は暗号化や電子認証や鍵の仕組みを 組み合わせたものである。事前にパ スワードなどの共通情報を持っていな いサーバとクライアント間で、暗号化 した情報を交換するために、公開鍵と 共通鍵という技術も用いている。だが、 企業で暗号化を全社的に導入するた めには、SSLのような方式は利用で きない。個人が暗号を解除するため のパスワードや認証キーを厳密に管理 する必要がある。 暗号化の導入は利便性がポイント 大手企業であれば、すでに情報保護 のための専任部隊を編成して、顧客情 報から重要な企業情報まで暗号化を 推進している。しかし、専任者のいな い企業では、情報をどのように保護す ればいいのか、まだ迷っているケース が多いのではないだろうか。ITは積極 的に活用していきたいと考えていて も、そこから作り出された情報が、漏 えいの危機にあるとすれば、その利用 も促進されない。むしろ、紙に書いて 金庫に入れておいた方が、安全に守れ ると考えがちだ。 実は、私たちが日ごろから利用して いるWordやExcelといったOffice系 ソフトには、以前から情報を保護する ためのパスワード機能が装備されてい た。保存するときのオプションで、読 み取りや書き込み用のパスワードを設 定できる。しかし、その設定が以前は わかりにくいところにあったので、あま り利用されてはいなかった。また、文 書ごとに異なるパスワードを設定して しまうと、誰かが使うたびにそのパス ワードを教える必要があり、運用も煩 雑になることから、現場では利用が敬 遠されがちだった。 セキュリティ水準を明確にしている 大手企業では、半ば強制的に暗号化と パスワードの運用を通達できるかもし れないが、現場の自主性や利便性を 優先する場合には、作業が煩雑になる パスワードの設定は行われていない。 また、仮に通達されていたとしても、や はり「うっかり」パスワードを設定し忘 れてしまうケースも起きるだろう。結 果として、暗号化を企業の規模に関係 なく、全社員に徹底するためには、現 場の利便性に配慮した技術の導入が 不可欠といえるのだ。 理想的な暗号化を推進するための技術 暗号化を全社規模で確実に実施し ていくためには、かなりの部分を「自 動化」する必要がある。ユーザーIDと パスワードの入力は必須だとしても、 個々の文書ごとにいちいちパスワー ドを設定したり、設定しなければ暗号 化されない、といった人手に頼る運 用を開放する自動化技術が求められ ている。例えば、USBキーなどによ るユーザー認証の自動化や、指紋に指 静脈などの認証技術を組み合わせて、 個人の特定を厳密にすると同時に、解 除キーを入力する手間を軽減する技 術は有効だ。また、個々のファイルご とに暗号化を実施するのではなく、ノ ートパソコンのハードディスク全体や サーバなど、より包括的な暗号化によ って、システム全体を守る技術も効果 的になる。さらに、Office系文書であ れば、社内ネットワークのログインで 利用されているユーザーIDや権限と連 動して、作成した文書の自動的な暗号 化と閲覧権限が設定できるようにな れば、運用の利便性を損なわずに、適 正なユーザーだけが閲覧できるように なる。この仕組みを導入すると、電子 メールに添付して誤送信したとしても、 送り先で閲覧される心配もなくなる。 いずれにしても、暗号化による情報 保護の導入に関しては、その運用方法 を検討し、自動化と利便性が充分に 確保されている技術を選択するべき なのだ。
|
■情報漏えいの3大原因と防止のポイント  |
|
 |
||
 |
||
本紙の購読申込み・お問合せはこちらからCopyright
2006 Otsuka Corporation. All Rights Reserved.