じっくり考える「情報漏えい発生の理由」(前編)
雇用形態の変化と情報漏えいの実態
宇崎 俊介
トレンドマイクロ株式会社
コンサルティングSE部 テクニカルSE課
情報セキュリティ シニアアナリスト
2009/5/29
今後の雇用形態変化と情報管理
電器メーカーから主要製品の要素技術に関する情報が持ち出され、海外のメーカーに盗用されたり、自動車やバイクの基幹技術が持ち出されて海外で模倣されたりしてきたことは、各種報道などを通じて知られているだろう。ただ、いずれの場合にも機密の情報が漏えいし、盗用されたという確証はない。膨大な資金を投入して開発した技術が模倣されることを、ただ見ていることになる。
今後の政策や、将来の社会情勢の流れを考慮すると、日本の産業はより多国籍化することが予想される。企業は単純労働力に関して、より賃金の安い外国人労働者受け入れの規制緩和を求めているし、より多くの業種にそれを適用できるように望んでいる。期間を限定し、予算を削減し、利益率を上げるための施策が、技術やノウハウの流出という形で自らの首を絞めることになりかねない。
このような労働環境では、目まぐるしく従業員が入れ替わり、情報の漏えいリスク顕在化の可能性はより高まることが予想される。いまの日本が経験している“人と情報をひも付ける”機密管理体制では機能しないため、情報管理体制をより厳密に変化させることが必要になる。
ここで、ある日本の製造業の企業で実際に取られている、情報漏えい対策の具体的な例を挙げてみよう。
●精密機器メーカーの情報漏えい対策
|
特に中〜大規模な企業の場合では、物理的なコントロールは不便さを助長する可能性があるため、業務権限に連動した参加可能ネットワークの振り分け、DLP(Data Loss Prevention:情報漏えい防止対策)ソリューションによる端末自体のコントロールなど、ユーザーに意識させない対策が非常に有効だ。
ここでいうDLPソリューションとは、一種のクライアント/サーバ型のソリューションであり、企業のセキュリティポリシーを構成・配信・端末からのログ取得を行うサーバと、クライアント上でポリシーを展開するエージェントアプリケーションから構成されるものである。どのような情報が企業にとって重要で、漏えいさせてはならないのか、という情報ポリシーをサーバに設定し、エージェントアプリを展開したクライアントPCにルールを配信することで、集約された管理のもとで、情報漏えい防止の効果が得られるものである。
企業の雇用情勢、雇用形態の変化に業務形態の変化が追いつかない現状では、DLPを利用した企業の自己防衛が情報漏えい対策として極めて有効だ。DLPによる情報漏えい対策は単なるITインフラ投資ではなく、経営戦略のツールであるといえる。なぜなら、昨今の経済状況下では、企業活動は縮小する市場の食い合いであり、1つのミスが大きくつけ込まれる“すき”となるからである。自社の価値、すなわち自社の財産である情報を守り、不況の中で事業を継続するための投資の1つこそがDLPソリューションなのである。
今回は非常に大局的な視点から、そしてあまり普段あまり語られない“雇用形態”という視点から情報漏えいについて見つめてみた。情報漏えいを基本的な立ち位置から見つめ直し、「何が起こりうるか」「起こったらどうなるか」「お金をかければいいのか」という点から考察していきたい。
 |
3/3 |
中編:情報漏えいが事業経営に 与えるインパクト→ |
| Index | |
| 前編:雇用形態の変化と情報漏えいの実態 | |
| Page1 情報漏えい事件の原因はどこから来るのか 「情報管理」のスピードを追い抜く雇用形態の変化 |
|
| Page2 アメリカと日本:雇用形態の違いに見る情報漏えいのかたち |
|
 |
Page3 今後の雇用形態変化と情報管理 |
| Index | |
| 中編:情報漏えいが事業経営に与えるインパクト | |
| Page1 情報漏えい対策の実際 情報の価値は誰が決めるのか |
|
| Page2 情報漏えい時に被る財務的なインパクトの予測 |
|
| Page3 あるショッピングサイトを襲った情報漏えい事件の「費用」 |
|
| Index | |
| 後編:情報漏えい対策ソリューション、DLPとは | |
| Page1 「機密情報そのもの」を守るというアプローチ 重要情報の決め手は「情報の指紋」 |
|
| Page2 情報漏えい防止のための「もう1つの手段」として |
|
| Profile |
 宇崎 俊介(うざき しゅんすけ)トレンドマイクロ株式会社 コンサルティングSE部 テクニカルSE課 情報セキュリティ シニアアナリスト これまでベンダ、コンサルティングファーム、セキュリティ教育などの分野で、情報セキュリティの専門家として活躍。現在はトレンドマイクロ株式会社において、情報漏えい対策を主として、戦略分野のコンサルタント業務に携わる。 主として情報セキュリティ管理を専門とし、人・物・組織を中心に情報セキュリティ分野広範をカバーするコンサルタントである。 セキュリティインシデントを心理や社会情勢との関係から分析し、新しい視点からのソリューションを提唱している。 |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
