漏れたら危険な”機密情報”や”個人情報”のファイル操作を可視化できていますか
個人情報保護委員会が厚生労働省に行政指導につづいて自衛隊員の情報漏えいによる捜査が行われているとの報道がありました。国レベルの行政機関によるこの状況は氷山の一角ではないことを祈るばかりです。
民間企業においても飲食チェーンによる食材情報の持ち出しや5G情報の持ち出しなどが大きく報道されました。この他にも自治体においても個人情報を故意に漏えいさせるなどの事件も明らかになっています。
個人情報についてはわかりやすいこともあり、個人の情報をリスト化したファイルが保護する対象であることは従業員の理解も高いと思います。管理体制としても日常的に個人情報ファイルを扱う部門や担当者を特定して漏えいさせない体制で利用されていると思います。
機密情報についてはどうでしょうか。企業が経営上他社には知られたくない情報は各企業ごとに違うことは言うまでもありません。またその経営の中枢と言える情報を扱う部門は特定されていますが企業によって異なるものです。そういう意味では個人情報よりも全社員の意識としてどんな情報が機密に値するかわかりにくいかもしれません。
どちらの場合においても漏えいを防ぐために必要なことは、その情報を扱う部門や人を特定することと、その情報が記載されたファイルを特定しておくことにあると考えます。紙による管理の時代には資料に「社外秘」などの印を押していたと思います。紙の時代には容易にコピーできなかったことから大量な漏えいも防げていたのかもしれません。
個人情報においては氏名と住所やメールアドレス、電話番号、マイナンバーなどが、ある数量以上含まれている場合個人情報ファイルとする。というように決めてそのドキュメントファイルを特定することが可能です。
機密情報においては各企業において特定する情報もことなることから、特定するためのキーワードを決めてそのキーワードが含まれるドキュメントファイルを特定することが現実的だと考えます。
デジタル化したファイルにおいては、アクセスする人を限定した保管場所による利用形態に頼っていませんでしょうか。上記で報道された事件において限定した保管場所にアクセスする人がそのアクセス権を使うか、パスワードを実行者に渡した結果流出が起きています。
機密情報が正規なアクセス権を使ってファイルを保管場所から持ち出されたりした場合、その行為の特定に役立つのが操作ログです。しかし特定の保管場所にアクセスした操作ログの場合、その権限を持った人の操作ログをすべて記録されています。今まではその操作ログだけでは漏えいが行われたことを特定できなかったと思います。
操作ログ管理ソフトをリリース依頼20年となるクオリティソフトが考えた手法は、操作ログを日付ごとに操作の多い人(PC)を操作数が多い順に並べて棒グラフ化して表示することにしました。日付を動かすことで順位が変動して棒グラフも変化します。
この棒グラフが日付を動かしていると日常とはことなる数を示す棒グラフを表示することがあります。この日常とは異なる異常値を示した棒グラフをクリックしてドリルダウンすると、その操作が正常な操作か不正なアクセスによるものかを判別できます。