ソリューション

人的ミスで手遅れになる前に…企業情報漏えいを防ぐ3つのポイント

先日も大手チケット販売会社からの個人情報漏えい事故が起きた。同社は決算を下方修正する事態にまで追い込まれてしまった。本当に情報漏えいによる被害ははかり知れない。多くの企業ではマイナンバーを含む個人情報や社外秘などの重要データの管理に頭を悩ませていることだろう。月末に改正される個人情報保護法では、中小企業含めほぼ全ての企業が対応しなくてはならない。ではどうしたらいいのだろうか。

<想定企業>
自動車メーカー ×社 マーケティング部門

【背景】情報共有と業務効率の向上を目的にファイルサーバーを利用

情報の共有化と業務の効率化を目的として、ファイルサーバーを導入している企業は数多い。
X社においても、開発に必要となる、図面、デザインカンプ、設計図、仕様書を始め、顧客情報などの重要ファイルをサーバーで管理していた。ファイルサーバーを用いた情報共有は、業務効率化が可能になると同時に、重要ファイルを集中管理できるため情報漏えいのリスクも軽減できるという側面を持つ。そのためX社では、これら全てをファイルサーバー上で管理していた。だが、そこには大きな落とし穴があった。

【課題1】重要情報へのアクセスは制限しているが、アクセス権限のある社員の行動を管理できない

ファイルサーバーからの情報漏えいは、アクセス制限や監視ログなどである程度は抑止することができる。だが、アクセス権のある社員がその重要情報にアクセスし、その後の操作を制御することは非常に難しい。「重要情報はサーバーからコピーしない、という運用ルールを適用すればいい」と考える人もいるかもしれない。だが、それでは以下のようなケースに対処できない。

「顧客分析やマーケティング活動のために顧客情報をローカルPCに保存し、作業終了後は削除しようと思っていた。」

顧客情報は当たり前だが個人情報が含まれる。同社ではローカルPCに個人情報を保存・保有することは禁止していた。本来であればファイルサーバーの指定フォルダに保存すべきなのだが、「大量の情報を分析するのでファイルサーバーでは重すぎて時間ばかりかかってしまう」と、ローカルPCのデスクトップ上に保存してしまう。
業務の効率化のためローカルに保存してはいけないデータを「今だけ…」というのは事実よくある話しだ。

いくら厳格な運用ルールを定めても、ミスを完全に防ぐことはできない。万が一の事態を防ぐためには、自主管理によるものではなく、システム全体を強制的に運用管理しなければならない。

もちろん、ファイルサーバー側についても、十分な情報漏えい対策は必須だ。USBメモリのような外部メディアへの書き出し、ファイルのプリントアウト、ローカルPCへのコピーやメール添付など、情報漏えいにつながる行為については、しっかりとした制限を掛けなければならない。

課題・問題のポイント

  • 運用ルールだけでは防ぎきれないローカルPC上にある機密情報の漏えい対策
  • 情報漏えいにつながる行為の制限

【解決策】システム側で強制的にローカルPC上の機密情報を管理

どんなに厳密な運用ルールを定めても、ヒューマンエラーは発生する。であるのなら、ミスが起こることを前提に、システム側で強制的に管理することが必要となる。そのためのソリューションが、クオリティソフトが提供する「QGG(Quality Gather & Guard)」だ。

「移す」、「守る」、「集める」の3つのポイントで、機密情報の漏えいを未然に回避

QGGでは、ローカルPC上にある重要なデータを、以下の3つのポイントで自動的に、暗号化された安全なファイルサーバー上で管理できる。

Point.1 安全なファイルサーバーに移動して、重要ファイルの編集を制限

ユーザーのローカル上にある重要ファイルを、暗号化した安全なファイルサーバーに自動的に移動。ローカルPC側にはショートカットが作成され、移動したファイルにはショートカット経由でしかアクセスできない。ローカル上での重要ファイルの編集が行えなくなるため、誤操作などによる情報漏えいを未然に防ぐことができる。

Point.2 勝手なファイル操作を制御し、データ持ち出しできない環境を生成

ファイルサーバーに集約された重要ファイルはポリシーの設定により、コピー、メール添付、印刷などを制限することができる。

フォルダにアクセスしたユーザーの操作ログも取得できるため、データ持ち出しに繋がる操作は許可がないと行うことができない。

Point.3 ローカル上にある重要ファイルを自動で探査

ローカルPC内に保存されている「個人情報データ」と「機密情報データ」を自動探索し、保存先のフォルダ情報などを収集することが可能。

探索対象ファイルはWord、Excel、PDFなど50種類もあり、「個人情報」は予めファイルが所有している個人情報数の閾値を設定し、「機密情報」は事前に設定したキーワード(例えば社外秘やデザインなど)によって判定を行う。

なお、これらはシステム側で「強制的」に行うことができる。つまり、ローカルPC上に置かれた重要ファイルへのアクセスから編集まで、管理者の許可がないと行うことができない。また万が一、ファイルサーバーに置かれた重要ファイルが流出したとしても、暗号化されているため情報そのものが漏れる可能性はない。

2016年6月 日本ネットワークセキュリティ協会が公表した報告書(※)によると、情報漏えいの原因で最も多いものは「紛失・置き忘れ」、続いて「誤操作」「管理ミス」となっている。この3つで75%近くなる。つまり情報漏えい対策は、ヒューマンエラーが発生することを想定し、重要情報を管理することが必要なのだ。それを可能とするソリューションとして、クオリティソフトが提供する「QGG」は非常に適したものと言えるだろう。

※NPO 日本ネットワークセキュリティ協会 セキュリティ被害調査ワーキンググループ
「2015年 情報セキュリティインシデントに関する調査報告書 【速報版】」より

ページの先頭へ