情報漏洩対策として、サーバーやクライアントのログを取っています。という話を良く聞きます。確かに、内部統制報告書には、ログを記録し管理することが項目に入っています。ログが必要な項目であることは間違いありません。
しかし、本当に、ログを取るだけで情報漏洩は防げるのでしょうか?
ログ記録の意味
ログ記録は、監視の仕組みです。いつ誰が何にどうアクセスしたかを記録します。例えば、本来必要のない情報を興味本位で、あるいは、故意に取得しようとした人が場合、ログ記録されていることを知らされていたら、疑われるようなことは止めとこうかなと、抑制効果が働きます。
この抑止効果は、ログ記録していることを公表しないと効果はありません。しかし、監視されていることを知らされるのは、信用されていないといわれているようなもので、あまり心地いいものではありませんね。
知識のある人であれば、ちょっと気が引けることをするときには、記録が誤魔化されるように回避行動を取ることもあります。
また、この方法は、業務上必要ないことについては、抑止効果は働きますが、仕事を持ち帰るためにUSBメモリにファイルをコピーするとか、取引先に持っていくなどの、通常の業務については、何の抑止効果もありません。
実際発生した個人状漏洩事故/事件での有効性
では、次に、実際に発生してした個人情報漏洩事故で、どれだけ有効か、見てみましょう。2007年の個人漏洩事故/事件報道のなかで、意味のある流出事故を多い順にあげると、次の項目でした。(弊社調査)
- Winny流出
- PC盗難
- ウェブサイトで間違って公開
- USB紛失
- パソコン紛失
- 不正アクセス
- USB盗難
この中で、ログ記録だけで防げるものがどれだけあるでしょうか?実は、不正アクセス以外には、ほとんど効果はないのです。つまり、ログ記録だけでは、個人情報漏洩をわずかしか防げないことがわかります。
情報漏洩したらどうする?
ログ記録には、抑止効果しかありません。後で原因が誰かを突き止めることが精一杯で、Winnyで拡散してしまったファイルを止めるすべなどないのです。過失で情報流出させてしまった従業員に全ての責任を取らせて、企業が責任逃れできると思いますか?情報漏洩対策で必要なのは、監視よりも、未然に防止する仕組みです。
では、どういう情報漏洩対策を取ればよいのか?
ファイルに利用権限を設定し、権限をもつ利用者以外は使えず、権限の範囲内で利用する対策をとることです。また、万が一の際には管理者側でファイルの利用停止までできるシステムです。情報漏洩対策ソフト「トランセーファー PRO」で実現しています。
■まとめ
- ログ記録だけでは、ほとんどの個人情報漏洩事故/事件を防げない。
- ファイルの権限制御と認証、管理者側での利用停止を実現する情報漏洩対策ソフト「トランセーファー PRO」がおすすめです。