第328号コラム:守本 正宏 理事(株式会社UBIC 代表取締役社長)
題:「情報漏えい対策に関して」
企業の重要な情報を違法に持ち出し、悪用する情報漏えい事件が後を絶ちません。情報漏えい事件が発生すると、多くの社員が長年汗水流して集めてきた情報も、築き上げてきた信用も一瞬で失うことになり、顧客はもちろん、社員や株主等のすべてのステークホルダーに多大な損害を与えることになります。「情報漏えいをどのように防ぐか」ということは多くの人々が取り組んできた課題ではありますが、なかなか実効的な手立てがありません。特に図利加害目的で実行された情報漏えい事件は、発生する状況を分析すると従来の方法では防ぐことが困難であるとわかります。
重要データへのアクセス制限を設けて管理することはもちろん、重要データの暗号化、外部接続メモリーの使用制限、外部へのメール制限・監視など、当然ながら情報セキュリティに関するルールをしっかり決め、それらが守られているかが定期的にチェックされるようにして、情報漏えいを防ごうとしています。
しかし、会社には必ず、業務上認められて重要データにアクセスできる人がいます。また、業務上認められて暗号を解くキーを持った人もいます。上司等が許可すれば外部に重要データを送ることも、当然のようにできる人がいます。これらはもちろんルールに則った行為であり、外から見ていても問題があるようには見えません。その行為自体は、そもそも仕事をしているようにしか見えません。つまり、これらの行為そのものを禁止したとしても、情報漏えい防止には限界があるのです。
その理由は、実際の情報漏えい事件のパターンの中に存在します。
我々は過去の多くの調査経験から、情報漏えいに関する一連の行動には3つのステージがあることがわかっています。最初のステージは“醸成”です。大きな借金を抱えたり、病気になったり、自動車事故を起こしたり等で急にまとまったお金が必要になるなど、人は突然何らかの理由で大きな不安に駆られることがあります。また、さまざまな理由により長年にわたって会社への不満がたまることもあります。これらの不安や不満が徐々に、あるいは急速に人の心の中で巨大に膨れ上がった時、次のステージに移行することがあります。
そのステージが“準備”です。この段階では、“醸成”ステージを越えて情報漏えいを企んでいる人が、機密データを不正利用するために、それらのデータにアクセスできるかどうか、メールで送れるかどうか等のテストを行います。そのまま不正利用が可能であれば、あとはタイミングを見て不正利用のための行動を起こしますが、通常はセキュリティがかかっているため、これ以上は前に進めません(この時点で不正可能である場合は、セキュリティが不十分、あるいはそもそもデータを自由に扱える権限がある等が挙げられます)。
しかし、最初の“醸成”ステージで、非常に大きな不満や不安が原因で情報漏えいの実行を企てた人は、その程度で簡単には引き下がりません。何とかしてそのセキュリティを乗り越えようとします。例えば、データを自由に取り扱える権限を持っている共謀者を見つける等の手段を講じます。完璧なセキュリティで且つ共謀者もいなければ、やはりそこであきらめるしかありませんが、そもそもデータを自由に扱える権限を持っている人が首謀者であればその実行を阻止しようとするものはありません。
こうして準備を終えた人が、次のステージ“実行”に移るのです。
このように考えると、いったん“醸成”ステージを越えた場合には、情報漏えいを完全に防ぐことはかなり困難になります。情報漏えい対策をより効果的に行うためには従来の情報セキュリティに加えて、最初の醸成の段階で、できるだけ早い時期に個人が抱えている問題を解決してあげることが重要だということになります。
これらのことは、情報漏えい対策にはIT技術の向上だけではなく、かなり人間系の部分に深く入っていく必要があることを示唆しています。
本当に効果的な予防策あるいは抑止力としてのインシデント・レスポンス能力を考える時、デジタル・フォレンジックの真の対象者は「人間」であることを、我々は十分認識しておく必要があります。
【著作権は、守本氏に属します】