ビジネスお役立ち情報 > ビジネスColumn

ビジネスColumnビジネスColumn CADを利用して設計を行う際に必要なノウハウを紹介。

ビジネスColumnのトップへ

ビジネスシーンの多様化
情報流出に対策はあるか?

ビジネスがどこでも行われ、オフィスの内でも外でもアクティブな現在、情報の活用と保護を両立することは難しい問題になっている。インシデントに対応できる体制はあるのだろうか。

企業における個人情報流出の原因と実際

2005年4月に個人情報保護法が施行され、今や情報保護の意識は当然のものとなった。しかし残念ながら、企業による個人情報の流出事故は減らず、多くの事例が発覚している。

比較的規模の小さなケースも含めれば、全国各地で毎週のように個人情報や機密情報の流出事故が起こっている。個人情報保護法や日本版SOX法などによって企業のコンプライアンスへの対応が厳しく求められ、またその対応が企業の信頼を形づくる中、相次ぐ情報流出に歯止めがかかっていない状況は憂慮されている。

特に最近問題となっているのは、ファイル共有ソフト「Winny」の使用を原因とする流出事故だ。Winnyを利用しているパソコンに情報を流出させる「暴露ウイルス」が感染し、パソコン内に保存されている本来は共有するつもりのない非公開のファイルが、勝手にWinnyのネットワーク上に流出させられてしまう事故が多数引き起こされている。

2006年2月には、海上自衛隊員が防衛庁の機密情報をWinny経由で流出させてしまう事件が発生し、流出してしまった情報の重要性と、流出元の機関の公的性格から、社会に大きな衝撃を与えた。また今年2007年9月にも、NTT東日本が銀行口座情報を含む顧客情報3万件をWinnyで流出させた事件が発生している。

また、ノートPCの盗難や紛失を原因とする流出事故も少なくない。業務でノートPCを使用していれば、そこには当然ながら重要情報が保存されることになり、盗難や紛失の際の危険性が高まる。最近では、約23万件の個人情報を記録したパソコンが徳島大学病院内から盗難された事件が2007年9月に起きている。

見過ごしてはならない
情報流出事故のリスク

情報流出事故の多くが、データの紛失やファイル共有ソフトからの漏洩、あるいはメールの誤作動によるものなど、内部の社員が誤って流出させてしまうことによって起こっている。むしろ、企業外部の人間がクラッキングやオフィスへの侵入といった手段によって意図的に情報を流出させているケースは少ない。つまり、情報流出事故の多くが企業内の情報セキュリティ対策の網の目をすり抜けて発生しているのだ。

企業ネットワークに存在するセキュリティホールも、多くの企業が抱えるリスクとして問題視されている。PC端末の処理速度やネットワーク性能の向上によって、いつでもどこでも必要な情報にアクセスすることができる「ユビキタス環境」がビジネスシーンに広まっている一方、それは同時に、重要な情報が外部の脅威に晒されるというデメリットを併せ持っている。誰も知らないところで、社内の機密情報がいつの間にか外部へ筒抜けになっていたという事態は、どの企業にも起こり得ることである。

データという複製と転送が容易な形で情報が取り扱われている現在、機密情報が一度外部へ流出してしまうと、完全に回収してしまうことは不可能だ。情報流出を起こしてしまうことで企業の社会的信頼が大きく失墜してしまうことも避けられない。また情報流出によって顧客に対して直接的な被害を与えてしまった場合には、取引の停止はもちろん、巨額の賠償金を請求されてしまう事態に発展する可能性もある。

普及するシンクライアントによる対策

こうした情報流出を防ぐには、どういった対策が必要なのであろうか。

最も重要なのは、企業の情報セキュリティポリシーの作成と徹底である。機密情報のデータが入ったノートPCや記録メディアの持ち出しを禁止したり、Winnyなどのインシデントを招きやすいソフトウェアの使用を中止させたり、定められたセキュリティポリシーの下、厳格なルール運用を行っていく必要がある。

また、あらゆる情報流出リスクを想定した上でのネットワーク構築も、これからの企業システムには欠かせない。情報流出対策という点で最近特に注目を集めているのが「シンクライアントシステム」だ。シンクライアントは情報を保存するハードディスクや演算処理を行うCPUなどを内蔵しない、通常のPCよりも構成が痩せた(thin)端末(client)である。情報を個別の端末へは記録せず、ネットワーク経由で企業内のサーバで一括処理することにより、万が一端末を紛失したり盗難されたりしても、そこに流出する情報は一切ないという仕組みだ。そもそも情報が端末に保存されないため、破られる可能性のあるデータの暗号化よりも強力な情報保護だと言える。

このように抜本的な情報流出対策を施したシステムであるシンクライアントには、幅広い製品群やソリューションが多くの企業から提供されている。シンクライアントシステムを実現する方式としては、仮想PC方式、ネットワークブート方式、サーバベース方式などがあり、さらに新しいソフトウェアやミドルウェアが各社によって開発されている。

シンクライアント専用端末も以前より低価格化しており、またASP方式で提供も始まるなど、シンクライアントが本格的に普及する環境が少しずつではあるが確実に整いつつある。これによって、情報保護もまた新たな一歩を踏み出したと言えるだろう。

(掲載:2007年10月)

関連リンク

企業のITセキュリティ講座