昨年から今年にかけて、ウィキリークス(WikiLeaks)があらゆるメディアに登場しました。世界の主要企業数社の機密文書を暴露するという脅威を、ウィキリークスが与えたためです。多くの企業が情報保護戦略の構築を検討していることから、今後のセキュリティ業界では、リスク評価の需要が増えると思われます。
ウィキリークス事件は、アクセス権を持つ内部関係者が、自らの職務の一環として合法的にアクセスできた情報をコピーした結果、引き起こされました。そして、多くの情報漏えい事件が、正規従業員を含めた内部関係者によって引き起こされます。たいていの情報漏えいは悪意によるものではなく、内部関係者の怠慢が原因です。結局のところ、セキュリティは、自分以外の誰かがやる仕事なのです。
情報漏えいを完全に撲滅することはできませんが、企業が外に流出する機密情報に付随するリスクを大幅に軽減することはできます。企業は、機密情報の動きを監視して、ユーザーによる機密文書のメール送信、印刷、リムーバブルデバイスへのコピー、インスタントメッセージ経由での投稿を阻止する方法を探っています。そして、情報漏えい防止(Data Loss Prevention: DLP)ソリューションを使用することで、これら全ての行動を管理・監視できます。
DLPをユーザーのPCにインストールすると、偶発的な情報漏えいを監視・防護できるほか、送信を許可する前にユーザーの機密情報共有の意思を確認することができます。また、ネットワーク上にインストールすることにより、インターネット上を通過するものすべての活動を記録・分類できる他、保存された構造化情報や非構造化情報を発掘できるデバイスでは、企業が情報の保管先を検索・発見することも可能です。
従来、企業には、IT管理者が通信上の異常を探せるように、情報とその使用について事前に認識しておく必要がありました。しかしこの手法では、情報漏えいがどこでどのように発生するかということを企業が事前に想定しておく必要があるため、クレジットカード情報や個人情報などのシンプルな事例を除くと、実際の運用は非常に難しいのが現状です。現在企業は、ソリューションを介して実行される業務プロセスを定義できるようになっています。一度、異常が見つかれば、暗号化、企業デジタル著作権管理、ユーザー教育、マネジャー承認の要求などの技術を通して、異常を改善することができるでしょう。
またこれに拍車をかけているのがモバイルコンピューティングの企業導入です。モバイルコンピューティングは、ますます従業員に権限を与え続けており、この傾向は高まる一方です。同時に、企業では、ソーシャルメディア利用に対する関心が高まっています。これら2つの要素は、情報漏えいに関して企業が直面するリスクの度合いが桁外れに増大していることを示しています。情報漏えいが実際に発生した場合、その事件を確実に特定することが第1段階ですが、では第2段階として、企業は情報を漏えいさせた人物、漏えいの時期と方法を取り巻く疑問に対処できなければなりません。
法規制順守の先へ
DLPなどの情報保護技術が推進・採用された背景には、SOX法、HIPAA法、PCI基準、ITAR規制などの業界規制や政府規制に伴う米セキュリティ侵害通知法の存在があります。HIPAA法、HITECH法といった規制アプローチや州のプライバシー保護法は、企業による個人情報漏えい報告を確保する上で極めて重要なものでした。これらには、外部告発者や、企業が適切に開示しない場合に脅威が存在することを保証する政府機関のための規定が用意されています。
HITECH法の強化点より先にHIPAA法を見れば、HIPAA法には厳格性が欠如しており、さらに違反の影響も不明確であることが分かります。HITECH法がまとまった時、医療機関の対応は大きく変わりました。現在では、違反した企業には罰金が科され、外部告発者が事象を報告すれば経費がかさみます。マサチューセッツ州プライバシー保護法は、金銭的なコストと違反の関係を示す好例です。
多くの企業は、自社のビジネス方針や市場進出計画など、重大な機密情報を失うリスクにさらされている一方で、それを報告する義務はありません。この脅威に気付き、阻止するための事前措置をすでに講じている企業もありますが、その一方で、多くの企業は対策を講じていません。強制機能がないためです。今、企業に求められているものは、「重大」な事象の報告です。これが理に適っていると思えるのは、重要機密情報を損失すると悲惨な市場の結果を招く可能性があります。
特に財務や株価の視点から見れば、何がどのように開示されるか心配するよりも、最初の段階でこうした漏えいの発生を阻止することのほうが、より魅力的なアプローチであることは明らかです。経営陣は、自社ビジネスに関する最新情報一式を持ちたがります。最善の意思決定とは、情報に基づく意思決定であり、リスクの適切な評価が可能なのは、知識がある時だけです。
国際競争力と情報漏えいの脅威
あらゆる企業がグローバルにビジネスを行っており、機密情報が世界のあちこちに点在しています。情報保護は、ビジネスを実現する要因としての役割を果たします。情報が適切に保護されると、保護されていなければ得られないチャンスが手に入ります。たとえば、情報が外部に流出する前に保護されるなら、自信を持ってクラウドサービスを活用できます。機密情報をコントロールできるのであれば、地理的に遠く、新しい場所で業務を行うリスクは決して高くはありません。
今、企業は、設計文書、図表、製品発売計画、製剤処方といった機密性のより高い情報の保護に関心を向けています。こうした種類の文書は、シンプルな個人情報やクレジットカード番号に比べて格段に複雑であるため、従来のDLPソリューションは効果的でない傾向があります。 情報にアクセスできる者が情報を修正して新しいインスタンスを作成し、他者と共有できると考えてください。情報が最後にどこにたどり着くかを予測することは、ほとんど不可能といえるでしょう。この種の機密情報やその利用を保護するためには、業務プロセスを理解することが必要です。業務プロセスが実際にどのように利用されるかということと、業務プロセスの設計方法を企業が理解できるようにすることで、この隔たりを埋めなければなりません。
DLPを含め、単一の技術で情報漏えいを100%防止することはできませんが、大半の漏えいが管理の簡単な従来チャネルで起こっています。DLPは、情報保護のみならず、情報利用や業務プロセスに関しても、十分な情報に基づいて決定を下すために必要な洞察を提示します。DLPの特長と機能性が情報保護技術の構造に浸透し続け、DLP導入企業の価値を高めることを期待しています。
