投資対効果の視点から考える、これからの情報漏洩対策とは - 11月6日に講演
2014年11月6日、マイナビ・セミナー「企業の信用が一瞬で崩れ去る"情報流出"を、根本的に防ぐための方法とは?」が開催される。本セミナーでは、NTTデータ 情報セキュリティ推進室のシニア・エキスパート大谷尚通氏が、合理的な情報漏洩対策の考え方について基調講演を行う予定だ。ここでは講演内容の概要を先取りしてご紹介する。
○人為的ミスの排除で、高い費用対効果を
流出の原因は、メールの誤送信に代表される誤操作、誤廃棄などの管理ミス、情報を記録した書類や媒体の損失・置き忘れなど、人為的ミスが発生件数全体の80%を占め、昨今ニュースで話題となっている、内部不正に端を発するものは1%に過ぎない。
「被害は比較的小さくても頻発する人為ミスによるものと、一度でも発生すれば莫大な損害を被る内部不正によるもの、どちらも被害額の総量でいえば同額くらいになるかもしれません。
だとすれば、ちょっとした間違いや軽い気持ちで行う違反など、簡単な対策で防げる情報流出の数を減らしていくことこそ、優先すべきでしょう」(大谷氏)
まずはデバイスで外に持ち出す情報や、送信するメールは暗号化するなど、いわゆる一般的な対策をしっかり行うのが第一ということだ。それが、少ない投資で確実に効果を上げる方法でもある。
「そういう対策を施し、普段からきちんと運用していると、しだいにどこに抜け穴があるかがわかってきます。それを一つずつつぶしていけば、確実に流出件数を少なくしていくことが可能です。また、機密データにアクセスするような、重要な操作をするときには、必ずほかの誰かといっしょに行うといったことでも、大きな被害を防げます。簡単なことですが、ミスをチェックするという意味でも、不正や犯罪に走りづらい環境を整えるという意味でも有効です。高度なセキュリティ対策を取る前に、このような基礎をしっかりと築いておくべきでしょう」(大谷氏)
○内部不正への対策は、被害総額の想定から
「しかし内部スタッフによる情報漏洩は、会社への怨恨だったり、金銭欲しさだったりと、個人的な目的で行われますから、どんなに厳しいルールを作り、社員教育をしたところで、防ぎきれるものではありません」(大谷氏)
それだけに内部不正への対策は難しく、コストがかかるのも事実だ。企業は自社にとってどのデータが重要で、それが流出してしまったら、どれだけの損害が想定されるかを算出したうえで、それ相応のコストをかけて対策を練っていく必要がある。
「発生件数が少ないため、効果が見えにくいということもありますが、例えば想定被害額が100億円だとしたら、コンサルティングやシステム構築に5億円かけても見合う、という考え方も持っておいてほしいと思います」(大谷氏)
講演では効率的な漏洩対策や、その投資効果などについて語られるほか、内部不正によって起こった実際の情報漏洩事件を例に、何が問題だったのか、どんな施策が必要だったのかも検証される予定となっている。情報管理の現場だけでなく、ROIに敏感な経営層にいる方にも有益なものとなるだろう。
当日はID管理やDLPなど、注目を集めているソリューションを紹介するセッションもあるので、幅広く漏洩対策の情報を集めたいという方は、ぜひご参加いただきたい。
提供:
