近年、私たちの生活では、公私共に広くデジタル技術が利用されるようになっています。オーディオ・プレーヤーやカメラを始め、多くの製品がデジタル化されており、コミュニケーションを図る、写真を撮る、音楽を聴く、映画を見るなど、その目的が何であれ、ほとんどの携帯機器は、大量のデジタル・データを持ち運べるようになっています。
コンピュータからポータブル・ストレージ・デバイスに大量のデータを簡単にコピーできるようになったということは、誰に気付かれることなく、また誰の許可を得ることもなく、企業の機密データを極めて容易に持ち出すことが可能になったということを意味します。興味深いことに、こうした行為は、犯罪組織の本部や学生寮からインターネット経由でシステムを攻撃するというような、今までによくありがちなイメージのハッカーが行っていると言うことはほとんどありません。実際に多いのは、より身近な人物が犯人であるというパターンです。例えば、自社への来客が、誰も側にいないときを見計らってデータを盗み出そうとしたり、派遣社員が、機密データを盗み出すために潜入してきたライバル企業のスパイだったりといったことが少なくありません。また最近増えているのが、不満を抱えた社員が離職時に機密データを持ち出し、それを転職先で利用しようとするケースです。さらに、ただセキュリティ・ポリシーに従っていないだけの悪意のない社員が、作業中のファイルを自宅に持ち帰ろうとし、暗号化されていないストレージ・デバイスごと紛失してしまうといったパターンもあります。
コピー用紙640箱ぶんの情報がポケットに
Windows 1.0 時代におけるビル・ゲイツ氏の有名な発言に、「PC に 640 KB
以上の RAM が必要になることはないだろう」というものがありますが、現在では、キーホルダー・サイズで
16 GB もの容量の USB メモリが登場しています。ここで、コピー用紙1枚ぶんのテキストが
10 KB のサイズで、コピー用紙1箱に500枚入りの束が5つ含まれているものとしてみましょう。すると、前述の発言の現代版になりそうな数字が出てきます。すなわち今日では、640
KB どころかコピー用紙640箱ぶんの情報をポケットに入れて持ち歩けるのです。これだけの容量があれば、売上データベースや新製品のソース・コードを丸ごと盗む出すことも不可能ではありません。これこそ「これ以上のメモリ容量が必要になることはない」というような数字ですが、将来的にはまた違った状況になっているかもしれません。
最近の PC のほとんどに装備されている USB ポートは、そのままでは企業の IT セキュリティにとって最大の脅威であるとも言える存在です。前述の USB メモリのほかには、MP3 プレイヤーやスマートフォン、PDA などもデータを盗み出すために利用されます。これらのデバイスは、数十GB のデータを保存できるだけでなく、USB ケーブルを用意するだけで簡単に PC と接続することができます。ドライバのインストールも不要なため、管理者としてログオンする必要もありません。ドラッグアンドドロップを行うだけで、多くの場合わずか数秒のうちに目的を達成することができます。標的のデータが iPod や PDA に収まりきらない場合には、USB 接続の外付けハードディスクを利用するという方法もあります。この種のハードディスクは現在、容量500 GB のものが2万円に満たない価格で入手できます。
危険なのは USB デバイスだけではない
もちろん、情報を電子的に盗むために利用できるのは、USB デバイスに限りません。最近のほとんどの携帯電話はカメラ機能を備えており、これを利用すれば、印刷された情報も素早く電子化することができます。また、携帯型の
OCR やスキャナも、機密書類を探し回る犯罪者にとっては同様の武器となり、より単純な方法では、書類をコピーして郵便でどこかに送ることも可能です。しかし、デジタル情報をコピーする場合と比べて時間のかかるこれらの方法は、特に情報量が多い場合には現実的なやり方とは言えません。したがって、情報を守る立場からすれば、これらの手段を警戒するよりも、USB
デバイスの使用を制御することの方がはるかに重要ということになります。
多くのデータ盗難では、やはり社内の不満分子が最も疑わしい存在と言えますが、データ保護ポリシーにおいては、退職した元社員のことも念頭に置かなければなりません。例えば、退職者が出たり部門の異動があったりした場合は、その社員のユーザ・アカウントおよびパスワードを直ちに削除する必要があります。退職者のアカウントをそのまま残しておくことは非常に危険です。
効果の高い3つのデータ漏洩防止策
企業データの漏洩リスクを低く抑えるには、次の3つの対策が特に有効です。
- データを社外に持ち出すことが許される社員、データを持ち出す際に実施すべきデータ保護対策をポリシーとして明確化する。
- データを無断で社外に持ち出せないようにする。
- 社外に持ち出す必要のあるデータは、絶対に悪用されないように保護する。
サーバとワークステーションにユーザ・アカウントを設定
データの持ち出しを制御するにはまず、サーバとワークステーションにユーザ・アカウントを設定して、必要のない情報に社員がアクセスできないようにする必要があります。例えば、営業部門やマーケティング部門の社員は通常、製品開発部門のファイル・サーバにアクセスする必要はないはずなので、そのようにアクセス権を設定します。ただし、ルールを厳しくし過ぎると、社員が「信頼されていない」と感じて社内の士気が低下することも考えられます。ジョージ・オーウェルの小説『1984』に登場する支配者「ビッグ・ブラザー」のように見られることは避けなければなりません。その場合、データを盗み出そうとする者をあきらめさせるどころか、全くの逆効果になることもあり得ます。
効果の大きいポート管理
第2の対策を実施するためには、USB デバイスを許可なくコンピュータに接続できないよう自動的に USB
ポートをブロックするポート管理製品を導入することが有効です。ポート管理製品は、チェック・ポイントの Check
Point Media Encryption を始めとして、ベンダー各社からさまざまな製品が提供されています。Check
Point Media Encryption は透過的な暗号化機能も備えているため、USB デバイスにコピーされた情報は、権限がなければアクセスできないよう自動的に暗号化されます。
また、機密性の高いファイルは一切外に持ち出せないようにしたいと考える方もいらっしゃるかもしれませんが、こうした姿勢が常に適切であるとは限りません。場合によっては、社員にファイルの持ち出しを許可することが必要になることも、あるいはその方が企業にとって有益であることもあります。例えば営業担当者は、外出先で商品情報を参照する必要があり、マーケティング担当者も、社外で行われるカンファレンスやセミナーにおけるプレゼンテーションの際に社内資料を必要とすることが少なくありません。また、特に忙しい時期には、週末に自宅で作業をすることもあるでしょう。これらを行わせないということは、会社にとって有益な社員の活動をわざわざ禁止するということになります。
社外に持ち出された情報を保護するために
第3の対策は、社外に持ち出された情報を保護することです。例えば、営業担当者のノート PC が車のトランクから盗まれた場合に備えて、ハードディスクに保存された顧客情報が権限のない者によって盗み見られることのないようにしておく必要があります。あるいは、マーケティング担当者がカンファレンス会場で
PDA を紛失し、誰かがその PDA を入手したとしても、その中に保存されている来年発売予定の新製品に関する情報にはアクセスできないようにしておかなければなりません。これらのことは、データの暗号化によって実現することができます。データを暗号化するための製品は市場に数多く存在していますが、製品を選択するうえで重要なのは、実績があり、透過的・自動的に動作するソリューションを選ぶことです。このようなソリューションであれば、ユーザの操作を必要とすることなく、最も厳格な法令遵守要件を確実に満たすことが可能になります。暗号化ソリューションを導入することは、顧客の信頼と社員の忠誠心を向上させることにつながります。なぜならそれは、機密データを保護し、デバイスが紛失・盗難に遭ってもデータ侵害が発生しないようにするために、企業が最善を尽くしていることの証であるからです。
原典: The Great Data Exodus, Nick Lowe, Online Recruitment, Shoeburyness, Essex, England, June 21, 2007.