情報漏洩対策に関する本音
様々な情報漏洩に対するベストプラクティスを駆使しても、情報漏洩ホールを完全に塞ぐことは、技術的、組織的にも不可能と認識せざるをえない。
企業に対する従業員のロイヤリティーの低下が、バブル崩壊の過程で制御不能となっている現状では、個々の従業員の職業倫理による情報漏洩に対する歯止めも期待できない。
現在のほとんどの企業で、IT環境の極端な制限が業務的に不可能であることは明らかであり(ITをリストラの道具・効率化の道具としてきた歴史から、元のITに余り頼らなかった企業環境に戻ることは無理)、そのIT環境の全ての情報漏洩ホールは塞げず、その上従業員のロイヤリティーが低下しつつある現状では、情報漏洩は防ぐというレベルではなく情報漏洩は常態化(起きていると)していると認識したほうがよいと思われる。悲しい結論だが、情報漏洩対策とは、情報漏洩発生後の対応策の充実である。
企業トップマネージメントはこの事態を深刻に認識し、バブル崩壊で破壊された従業員のロイヤリティーの回復に真剣に取り組むことが、最良の情報漏洩対策となると認識することが肝要である。
企業に対する従業員のロイヤリティーの低下が、バブル崩壊の過程で制御不能となっている現状では、個々の従業員の職業倫理による情報漏洩に対する歯止めも期待できない。
現在のほとんどの企業で、IT環境の極端な制限が業務的に不可能であることは明らかであり(ITをリストラの道具・効率化の道具としてきた歴史から、元のITに余り頼らなかった企業環境に戻ることは無理)、そのIT環境の全ての情報漏洩ホールは塞げず、その上従業員のロイヤリティーが低下しつつある現状では、情報漏洩は防ぐというレベルではなく情報漏洩は常態化(起きていると)していると認識したほうがよいと思われる。悲しい結論だが、情報漏洩対策とは、情報漏洩発生後の対応策の充実である。
企業トップマネージメントはこの事態を深刻に認識し、バブル崩壊で破壊された従業員のロイヤリティーの回復に真剣に取り組むことが、最良の情報漏洩対策となると認識することが肝要である。
内部からの情報漏洩ホール(4)
(1)インターネットを使用した内部情報の漏洩手段は、ファイルアップロードサイト(ブログ、ホスティングサービス、P2P、ファイルの受け渡しサービス等)、Webメール、BBS、チャットなどが考えられる。これら漏洩手段に対するITコントロールを考察する。
(1.1)ファイルアップロードサイトに対する対策
対策1:Websense等のURLへのアクセスを制限する。
弱点 :新しいサイトが日々できること、個人で作成されたサイトなど、
完全にアクセス制限することは不可能。この対策では、不十分。
対策2:URLへのアクセスログの保存・解析。
弱点 :解析の効率性・有効性に疑問。
対策3:Metaframe等により重要情報がある社内LANとインターネット
接続用LANを分離し、両LAN間のファイル移動を厳重に管理
することにより社内重要情報を含むファイル漏洩を遮断。
弱点 :セグメント分離に多大なコスト必要。ファイル移動の管理
負担大。
対策4:すべてのクライアントPCの画面操作を記録・解析。
弱点 :現状では、適当なソフトウェアーがない。限定的(限られた
PC、記録時間が短い、解析ツールが不十分)使用か。
結論 :対策4は、将来的には導入可能と予想されるが、発見コント
ロールに留まる。対策3が、ベストプラクティスであり対策1
と対策2との併用が必要。
(その5)につづく
(1.1)ファイルアップロードサイトに対する対策
対策1:Websense等のURLへのアクセスを制限する。
弱点 :新しいサイトが日々できること、個人で作成されたサイトなど、
完全にアクセス制限することは不可能。この対策では、不十分。
対策2:URLへのアクセスログの保存・解析。
弱点 :解析の効率性・有効性に疑問。
対策3:Metaframe等により重要情報がある社内LANとインターネット
接続用LANを分離し、両LAN間のファイル移動を厳重に管理
することにより社内重要情報を含むファイル漏洩を遮断。
弱点 :セグメント分離に多大なコスト必要。ファイル移動の管理
負担大。
対策4:すべてのクライアントPCの画面操作を記録・解析。
弱点 :現状では、適当なソフトウェアーがない。限定的(限られた
PC、記録時間が短い、解析ツールが不十分)使用か。
結論 :対策4は、将来的には導入可能と予想されるが、発見コント
ロールに留まる。対策3が、ベストプラクティスであり対策1
と対策2との併用が必要。
(その5)につづく