情報漏洩対策ソフトをご検討のみなさまへ

07/12/07

「客から個人情報が漏れたと苦情が来た。対策したのに」

個人情報保護法が施行されて数年。我が社は対策しているから大丈夫と思っていませんか?対策が不十分だと、思わぬところで問題が発生して、足をすくわれます。今回は、その一例をあげましょう。

ウィルス対策ソフトの場合

マカフィー社の調査レポート(2007年10月)によると、消費者の87%がウイルス対策機能がインストールされていると回答しているが、実際に調べたところ、有効なのは52%にすぎなかったそうです。全ての人が適切にインストールしていれば蔓延するはずのないウィルスが広がるのは、こんなところにも原因があるようです。

今のはウィルスの話ですが、情報漏洩対策ソフトについてはどうでしょうか?導入したからOKというのでは、先の話と同じことです。運用が適切に行われているか、苦情があがってきていないか、ちゃんと確認してみましょう。

暗号化ソフトでの対策だけでは不十分?

情報漏洩対策として、暗号化ソフトを導入しているので大丈夫と思って油断していませんか?以下は、そんな対策ソフトを使っている仮想会社でのお話です。

顧客から、自社に登録した情報が他で使われているとのクレームがいくつかあり、データをつき合わせて調べていくと、データの内容から、先月末のデータが流出したようだとわかりました。先月退職した人がいたが、ひょっとしてその人が。しかし、退職した人は、暗号化したデータを見ることしかできない立場でした。そこから流出するはずはない。

そこで、念のため、情報漏洩対策ソフトのメーカーに問い合わせてみました。すると、驚いたことに、それは、当然、守れませんよ。という回答が。なんと、閲覧する権限がある人であれば、悪意のある利用者は、暗号化したファイルから、元のファイルを取得できるので、流出したら止められないというのだ。

それは対策ソフトの欠陥?

いいえ。その対策ソフトは、暗号化により、USBメモリの紛失やノートパソコンの盗難などからデータが流出するのを防止するシステムでした。しかし、悪意のある内部者には、復号したファイルをコピーするだけで、監視できないファイルにすることができるものだったのです。通常、アプリケーションは、開いているファイルを保存できるので、特別な対策をとっていないソフトにとっては、当然のことでした。

ログが記録されていたのは、復号したところまで。何人もの人が閲覧したファイルだったので、結局どこから流出したのかは分かりませんでした。また、流出したファイルを止めることはできませんでした。対策をとっていたことを説明しても、結果的に流出を止めることができていなかったため、責任を逃れるわけにもいかないようです。

更に調査で判明したこと

また、更に、調査の過程で、Winnyを使っていた人がいたことも分かりました。大事なファイルは全部暗号化していたので、大丈夫と思っていたそうです。改めて確認すると、この方式の場合、故意でなくても、ノートパソコンから、元のファイルが取れることがあることが分かりました。表示のために復号しているときには、ファイルが復号されるため、Winnyの暴露ウィルスの対象となるのです。

他にも、削除されたファイルを復元するソフトを使うと、一度復号したときのデータが復元されてしまうこともわかりました。結局、この対策ソフトを使う際は、利用者の十分な注意が不可欠なことが確認されました。

どうすればよかったのでしょう?

故意にデータを取られるのは防ぎようがない!と思っていませんか?確かに、データを扱う以上、全くデータが漏洩しない仕組みを作ることは不可能ですが、現実に起きている程度の問題に対しては、対策することは可能です。統計から、情報漏洩の大部分は、内部要因が原因です。そして、その中には、故意の犯罪も少なくありません。今回のように、過失については防げるが、故意は全く防げないようなシステムでは、不十分といえるでしょう。

故意のデータ取得も防止するシステムであれば、このような問題を防げます。暗号化したファイルを持ち出しても、早く検出でき、止められるなら、流出したときの被害は限定的です。

故意の流出を防止するシステムなんてあるの?

たとえば、情報漏洩対策ソフト「トランセーファー PROなら、暗号化により利用権限を制御し(コピー禁止/印刷禁止など)、ファイルを開く時にはユーザー認証を行います。万が一ファイルが流出しても、管理サーバー側でファイルの即時停止が可能です。またファイル閲覧時には一時領域に復号ファイルを残さず安全です。利用者の故意/過失にかかわらず、データの安全性を継続することを考慮した製品です。

■まとめ