昨年は、防衛関連企業や衆参議員を狙ったサイバー攻撃が話題になったが、その一方で、一般企業における個人情報の流出など情報漏えいの報道も後を絶たない。悪意を持った外部の犯行にばかり目が行きがちだが、じつは情報漏えいの原因の大半は管理ミスや誤操作などで、各企業の自助努力で防げるという指摘もある。クラウドサービスの活用、スマートフォンの導入など、企業ITを取り巻く環境も大きく変化する中、情報漏えいを防ぐためには何が必要なのか。
どんな企業であっても
守るべき情報は存在する
不正侵入やウイルス対策をいくら施しても、社内の管理体制がずさんでは意味がない――そう思わせるような調査結果が今年3月に発表された。日本ネットワークセキュリティ協会の「2011年 情報セキュリティインシデントに関する調査報告書(上半期速報版)」によると、昨年上半期にメディアで報道された個人情報漏えいインシデントの原因のトップ3は「管理ミス(38.2%)」「誤操作(32.6%)」「紛失・置き忘れ(12.1%)」。「不正アクセス」「ワーム・ウイルス」はともに1%前後にしか過ぎなかった(図1)。
情報セキュリティの普及と啓発活動に取り組む独立行政法人、情報処理推進機構(IPA)でも、今年2月に情報セキュリティ対策の現状を調べた「2010年度国内における情報セキュリティ事象被害状況調査」の報告書を発表している。「情報セキュリティ対策の必要性を感じたきっかけの約6割は、個人情報などの重要情報を保持したこと」などの結果が出ている。
情報処理推進機構(IPA)技術本部 セキュリティセンター
普及グループ 研究員
石田淳一氏
「企業における情報セキュリティ対策の懸念点は、“守るべき重要な情報はないから、当社にセキュリティ対策は関係ない”と他人事のように考えている経営者がいることです。どんな企業でもなんらかの重要情報を保有しており、“関係ない企業”などありません」とIPAの石田淳一氏は指摘する。個人情報だけでなく、取引先との契約情報、取引先からの委託業務の成果など、外部に漏えいしたり、消失した場合に、相手先に迷惑がかかるような“守るべき重要な情報”は必ず存在する。
特に多くの大企業は情報セキュリティの確保に敏感になっている。情報セキュリティ対策に多額の投資をし、社内の体制を整えている。だからこそ、取引先を選ぶ際にもどれだけ対策を施しているかが重要な選定基準になる。下請けの企業から個人情報が流出しても、責任を追及されるのは発注元の大企業だ。仕事のレベルが同じであれば、セキュリティがしっかりしているところに委託しようと考えるのは当然である。
「まずどの情報が重要なのか、それをどこに保管するのか、といった整理整頓のルールを設けることが大事です。紙媒体の情報がなくなるのも、他のものに紛れてどこに行ったのかわからなくなるケースが多いのです」と指摘するのはIPAの勝見勉氏だ。
セキュリティのカギは
マネジメントの強化にある
クラウドやスマートフォンの活用が進んでも、情報セキュリティ対策の基本は変わらない。重要なのは情報セキュリティを確保するために、どうマネジメントするのかだ。IPAが作成している「情報漏えい対策のしおり」では、「情報資産の持ち出しの禁止・安易な放置禁止」など、企業の従業員向けに七つのポイントが示されている(図2)。経営者から見れば、これらのポイントをどう守らせるかが課題になる。
IPAでは中小企業の経営者にとって便利なツールも提供している。それが「5分でできる中小企業のための情報セキュリティ自社診断」である。情報の取り扱い体制、事務室の管理体制、PCの利用方法、パスワードやウイルス対策の実施状況、メールやバックアップの落とし穴、社員や取引先への意識付けなど、25項目にわたってチェック項目が示されている。
