いま再び企業経営を悩ます問題として浮上しつつある、情報漏えい対策。クラウドサービスやスマートフォンの普及など便利になった半面、それに伴う新たなリスクも多い。目に見えない“外敵”から情報という資産をいかに守るべきか。さらには不正なデータ持ち出しを予防する対応策を専門家にきいた。

　毎年、個人情報の漏えい事件について日本ネットワークセキュリティ協会（JNSA）が統計結果を発表している。それによると、おととし1年間に起こった事故件数は1679件にのぼった。ただ、この数値は一般向けに報道された事故をJNSAが収集し、統計をとっているデータのため氷山の一角にすぎない。実際にはより多くの事故が発生していると考えられる。この中でとくに際だっているのは、想定損害賠償総額。これは何らかの個人情報が漏れてしまった全ての人々に対して、損害賠償をしたときの想定金額をさす。1人当たりの平均損害賠償額は4万3000円で、ひとたび漏えい事故が起これば、企業にとっていかに損害賠償が重くのしかかるかがわかるだろう。

　次に漏えいの原因をみてみると、トップは「管理ミス」だった。管理ミスとは情報の公開、管理ルールが明確化されていないために情報が漏えいしてしまうことだ。例えばオフィスの移転後に個人情報の行方がわからなくなってしまったり、個人情報の受け渡し確認が不十分で、受け取ったはずの個人情報を紛失してしまったケースなどをさす。2位の「誤操作」は間違った宛先に電子メールやFAX、郵便を送ることで、以降の順位は「紛失・置き忘れ」、「盗難」……と続く。上位3件で実に全体の8割を占めていることになる。共通しているのは人によって引き起こされるという点だ。

従業員教育から着手を

　IPAでも例年、届け出のあったセキュリティー情報や一般報道を元にして「セキュリティー10大脅威」をリリースしている（表2・『戦略経営者』2012年2月号23頁）。昨年発表した2011年版の第1位もやはり「人が起こしてしまう情報漏えい」だった。故意、過失を問わず、人に起因する情報漏えいは今後も増えていていくだろう。ツイッター（※1）をはじめとするミニブログサービスや、SNS（ソーシャルネットワーキングサービス※2）等ウェブサービスを使った、組織内の情報を暴露する事件が相次いでいるからだ。しかし、人のルール違反や操作ミスが大きな原因だとすれば、裏を返すとおのおのの従業員がしっかりとしたセキュリティー意識を日ごろから持っていれば、防げた事故はたくさんあったということにほかならない。

　なお中小企業向け情報セキュリティー対策ツールとして「5分でできる！中小企業のための情報セキュリティー自社診断」シートおよびパンフレットをIPAのホームページで公開している。無料でダウンロードできるので、是非トライしてみてほしい。内容は情報を扱ううえで最低限守っておきたい25項目を網羅しており、経営者またはシステム管理者が質問に答えていくと点数が出る仕組みになっている。これはあくまで、自社にとってどんな対策が必要かを自覚していただくための、いわばファーストステップ。最終的には満点をとってほしい。また、スパイウエアや不正アクセスといったテーマごとの「情報セキュリティー対策のしおり」も公開しているので、従業員向け啓発ツールとしてあわせて活用いただきたい。

委託関係に要注意

　最近の情報漏えい事故で顕著に見られるのが、委託先から情報が漏れるケース。つまり、顧客情報などのデータ入力業務を自社外に委託しているが故に起こる事故が増えているのだ。例えば親会社の依頼を受けて子会社や孫会社がデータを預かって入力する場合や、別の会社に入力をアウトソーシングしているような場合である。そんなとき、往々にして受け渡された情報がいかに重要なものかが、委託先に十分に伝わっていないことが多い。加えて派遣社員やアルバイトの人々が代行入力することも多く、情報の取り扱いについて十分な教育を受けているかどうかも不安が残る。

　かつては依頼主からすれば「いつも入力をお願いしている会社だから、いちいちうるさく言わなくても大丈夫」という感覚で済んだかもしれない。しかしいまやそれでは通用しない時代になっている。預けたもしくは預かった情報に含まれている内容やセキュリティーレベル、日常における管理方法について事細かに確認しておくべきだろう。目下、経済産業省では、委託関係にある会社で適用できる、統一のセキュリティー基準策定を目指しており、IPAも委員として意見を出しているところだ。

水際で防げないケースも

　冒頭に述べたように、明るみに出る情報漏えい事件は被害規模の大きいものであることが多い。だが現実にはパソコン内で保存しているメールアドレスの流出などをはじめ、小さな事故は日々起こっている。そしてここ数年の新たな手口として注意したいのが標的型攻撃といわれるもの。これは不特定多数に対してウイルスメールなどを送ったりするのではなく、ある特定の組織や個人を狙い撃ちにしたコンピュータウイルスや不正アクセスによるサイバー攻撃をいう。なかでも、情報の盗み取りを目的として特定の組織や個人に送られるウイルスメールを標的型メールとよんでいる。

　図2（『戦略経営者』2012年2月号24頁）のサンプル画像をご覧いただきたい。これは当機構を装った標的型メールの一例である。従来のウイルスメールは送信者が見知らぬ人だったり、本文が英語だったりしたため判別がわりと容易にできた。しかしこの標的型メールは一見すると通常のメールとなんら変わらない。われわれでも判断が難しいほどだ。しかもウイルス対策ソフトをすり抜けて届いてしまう。思わず添付ファイルを開いたり、メール本文に書いてある悪意のあるサイトへのリンクをクリックしたりすると、ウイルスに感染してしまうのだ。

　詳細については次ページ以降の記事にゆずるが、ここまで精度の高いウイルスメールを送るためには、標的である企業などに関して、相当の事前調査をしているはずである。もはや情報漏えいは水際で防ぐ対策のみならず、いざ感染してしまったときの“出口対策”までしっかり準備しておく必要があるのだ。とはいえ、社内から流出するデータを監視する仕組みを設けるには、それなりのコストがかかってしまう。そのためすぐにできることは、ウイルスの半分はOSやアプリケーションソフトの脆弱性を狙うといわれているので、パソコンを常に最新の状態にしておくことが第一。そして怪しい添付ファイルやリンク先のホームページをむやみに開かないことも大事だ。

（インタビュー・構成／本誌・小林淳一）

掲載：『戦略経営者』2012年2月号