1. HOME
  2. ユニリタマガジン
  3. 2015年UNIRITAマガジン
  4. 今、企業がとるべき情報漏えい対策とは?

今、企業がとるべき情報漏えい対策とは?

「アンケート結果から紐解く、情報漏えい対策の“次なる一手”」

昨今、企業や官公庁等の組織からの個人情報や機密情報の流出が後を絶ちません。その内容も、従来のオペレーションミス、持ち物紛失等の「ついうっかり型事故」から、社員、委託先も含めた内部犯行等による「悪意ある確信犯型事件」へ深刻化しています。

万が一、情報漏えいが発生した場合は経済的な損失だけでなく、社会的な信用の失墜を招き、企業存続にかかわる重大な事件となります。各企業の漏えい対策に関するアンケート結果から、“次なる一手”を導き出していきましょう。

企業を取り巻く環境および、情報漏えい対策の変遷

現在、各業界の企業は、企業競争力強化など、様々な理由で業界・組織再編を繰り返しています。また、競争力強化の一環でモバイル・ソーシャル・ビッグデータ・クラウドといった第三のプラットフォームの本格的利用が進んでいます。この変化により、情報セキュリティ担当者はクラウド・オンプレミス環境が混在したシステムに対して、いかにしてセキュアな情報漏えい対策を講じるかが課題となっています。

2005年に全面施行された個人情報保護法の対応、次にアメリカでのエンロン粉飾決算に端を発し、2008年に新たな内部統制のルールとして施行された「J-SOX(日本版SOX法)」と、日本でビジネスしている企業は、これらの施工・改訂にあわせて情報漏えい対策を実施してきました。

しかし、昨今発生している情報漏えいは、先日発生した某公法人、昨年度発生した某通信教材販売企業に代表されるように、“社内外からの悪意をもった確信犯型犯罪”にシフトしています。日本企業の多くは、今まさにこの確信犯型犯罪への対応が求められています。

「確信犯型犯罪」に対応する為に必要な 情報漏えい対策とは?

「情報漏えいを100%させない完璧な対策は可能なのでしょうか?」と問われたら、残念ながらその答えはNOです。ただし、情報漏えいを可能な限り発生させない工夫をする事はできると思います。

下図のアンケートは、シンクタンクのIPAが発表した、内部不正行為対策を実施している経営者、システム管理者に「効果があると思う対策」、そして社員向けに「効果が期待できる対策」として尋ねた結果の相関図です。

このデータの着目すべき点は、多くの経営者、システム管理者が「アクセス制御とIDパスワード管理」は効果があると答えているのに対し、実際にチェックされている側の社員は「証跡管理、監視そしてパスワード管理」は効果が期待できると答えている点にあります。

つまり、「ID、パスワードの管理」は、経営・管理側、社員で共通する対策要素なのに対し、「証跡管理と監視」は社員のみ、内部不正への気持ちが低下する・効果が期待できる対策と答えています。ここからは具体的にどういった対策を行えばよいかを考察していきたいと思います。

情報漏えい対策に関するアンケート結果

情報漏えい対策に関するアンケート結果

「確信犯型犯罪」に対応する為に必要な 情報漏えい対策とは?

現在、システムのクラウド化の潮流の中、一般の会社員が利用しているシステムの平均数は、19.4個といわれています。それに対して人が覚えられるパスワードは脳科学的に3.1個と言われています。つまり、多くのユーザがパスワードの組み合わせを数パターンに分け使いまわしていることになります。これらの問題を解決するには、セキュアかつ簡単にエンドユーザのシステム利用を統制、管理する仕組みが必要となります。パスワードの使いまわしを改善するには、シングルサインオンやID管理の仕組みを導入し、ID、パスワードを守るだけでなく、エンドユーザの利便性向上も両立させることが重要です。

シングルサインオンとID管理で3つの効果を!

ユニリタが提案するソリューション

ガバナンス強化とワークスタイル変化の両立を実現するポータル&ID統合管理ソリューション

ソリューションを構成する製品

  • infoScoop SSO

ポータルに一度ログインするだけで、複数の業務アプリケーションを利用できる統合的な認証基盤を提供します。

  • infoScoop ID Manager

社内外に散在するシステムのユーザIDを統合管理します。アカウントのライフサイクルを一元管理し、ID管理のコストを大幅に削減、さらに不正アクセスの脅威から守ります。

  • ID管理に関するコンサルティング

子会社を含む、統合的なID管理が求められています。他社の取り組みを参考に、対象企業に最適なID管理の方針を立てます。

情報漏えい対策要素その2「証跡・監視に監査ログを利用し、予防的統制と教育に活用」

多くの企業は、過去の情報漏えい対策において、証跡管理に監査ログを取得してきました。

しかし、弊社実施のアンケートによると、多くの企業は事故発生時の調査用データとして保管していることが多く、活用しきれていないのが実態のようです。データを活用する際は、監査ログだけではなく、個人・組織のデータや、作業申請書との突合処理等、複数のデータのかけ合わせによって、初めてエンドユーザがわかるデータになる事が多く、これらのデータを手軽に作成できる仕組みが必要となってきます。

エンドユーザの方には、予防的統制として「システムを使った日々の業務は監視されており、証跡も残している」という事を広く周知する事が有効と考えます。また、アクセスレポートを組織ごとに定期的に配信する事も効果的です。従来溜める事だけを目的としていた監査ログを、内部犯行防止の観点で活用することを推奨します。

情報漏えい対策要素その2「証跡・監視に監査ログを利用し、予防的統制と教育に活用」

ユニリタが提案するソリューション

ログの収集/保管~ログ加工/蓄積/管理~ログ分析まで、トータルなログの活用を支援する監査証跡ソリューション

ソリューションを構成する製品

  • Waha! Transformer

大量の監査ログの高速処理を実現し、別データとして存在する社員・組織マスタや、作業申請書の突合を実現する事により、監査ログを予防的統制や教育資料の情報源として活用することが可能です。

  • A-AUTO

ハードウェア、アプリケーション、ネットワーク機器、通信環境などから発生する膨大なログデータを「収集して統合する」、「圧縮して保存する」、「高速・高精度検索する」、さらに「効果的に集計・分析・レポート化する」など、ログの統合管理に必要なあらゆる機能を高レベルで提供します。

  • Be.Learning

セキュリティへの意識を高めるには社員一人一人が反復して学習することが重要です。eラーニングツール「Be.Learning」により、自社に適した実践的な教育を行うことができます。

担当者紹介

佐々木 勉

プロダクト事業本部 販売支援グループ
佐々木 勉

私は、1999年に入社して以来16年にわたり、主にデータ連携領域、データ活用領域、情報セキュリティの領域の技術者としてお客様への提案活動、セミナー講師から製品の教育および受託開発業務と様々な仕事をしてまいりました。お客様へは今回掲載した領域をはじめ、ユニリタが提供できるすべての領域を加え、お客様からご賛同いただけるようなコンセプトで情報をお届けしていきたいと思います。どうぞ、よろしくお願いいたします。

会社情報に関するお問い合わせ

製品やIR以外の当社に関するお問い合わせ、本HPに関するお問い合わせなど、総合お問い合わせフォームより受け付けています。

お問い合わせフォーム