今や毎日のように何らかの情報漏えいインシデントが発生している。その要因としては、近年大きく報じられる「標的型攻撃」や「ゼロデイ攻撃」など外部からの脅威によるものばかりでなく、企業内部の人間が過失または故意により情報を流出させてしまう“内部不正”と呼ばれるものも多い。内部不正といえば、2014年に発生した大規模な情報流出事件が記憶に新しい。セキュリティ業界のトレンドとしては落ち着きをみせているものの、いまだ情報漏えいインシデントの8割以上が内部に原因がある。改めて現状と対策を追う。（取材・文／前田幸慧）

情報漏えいの脅威は内部に多い

　内部不正による情報漏えいの例として代表的なものといえば、14年7月に発覚した通信教育大手企業の事件だろう。顧客情報を管理する同グループの関連会社に勤めていた派遣社員が不正に個人情報を持ち出し、約3504万件もの個人情報を流出させたとされている。同社は事件の発覚後、顧客の会員離れが加速し業績不振に陥っており、その影響は現在もなお続いている。「この事件の影響で、情報漏えい対策の引き合いが急激に増加した」と話すセキュリティベンダーの声も多く、内部不正対策に注目が集まる契機となった。

　その後は、内部不正対策が大々的に叫ばれることはないものの、内部不正による情報漏えい自体はたびたび発生している。日本ネットワークセキュリティ協会（JNSA）が、15年に新聞やインターネットニュースなどで報道された個人情報漏えいインシデントの情報を集計・分析。今年6月に公開した「2015年 情報セキュリティインシデントに関する調査報告書【速報版】」によると、15年に発生したインシデントのなかでは、先述の事件のような「内部犯罪・内部不正行為」による情報流出の件数は2.1％程度。その一方で、「紛失・置き忘れ」「誤操作」といった過失を原因とする情報漏えい件数は、全体の4分の3以上に及んでおり、個人情報漏えいインシデント全体をみると、その原因はほぼ企業内部に存在することになる。また、漏えい媒体・経路としては紙媒体が半数以上、次いでインターネット、電子メール、USBデバイスなどのリムーバブルディスクという順だ。「メールを誤送信してしまった」「機密情報の入ったUSBデバイスを紛失した」といったヒューマンエラーは、ほかの誰でもない自分自身が起こす可能性があるという点で、「内部不正」は決して他人事ではないと同時に、いつでも起こり得るリスクをはらんでいる。

内部不正は軽くみられがち

　内部不正の発生件数の多さや身近さは明らかだが、企業は内部不正対策についてどのように認識しているのか。調査会社のIDC Japanによると、ファイアウォールやVPN、アンチウイルスなど、外部脅威対策と比較し、情報漏えい対策やアクセス管理、ぜい弱性管理などの内部脅威対策の導入率は遅れているという。IDC Japanの登坂恒夫・ソフトウェア&セキュリティリサーチマネージャーは、「ユーザー企業はマルウェア感染やサイバー攻撃など外部脅威からは守ろうとするが、内部脅威については意識が低く、投資の動きも弱い」と分析する。

　また、ユーザー企業のセキュリティへの懸念度合いをみると、マルウェア対策やゼロデイ攻撃などの外部脅威に次いで社員のミスへの認識が高いものの、社員や内部関係者、ビジネスパートナーによるデータ窃盗は懸念度合いが低い結果となっている。

　その要因として、ユーザー企業が新たな外部脅威への対策が急務と捉える傾向にあることや、セキュリティ対策にかける予算が前年と変わらず、投資先も変えないという企業が多いことがあげられる。それらに加え、情報処理推進機構（IPA）技術本部セキュリティセンター情報セキュリティ分析ラボラトリーの石綿美佳氏は、「まさか自分のところの社員がやらないだろうという性善説に陥りやすく、とくに中小企業ほどその傾向が強い」と説明し、そういった認識に警鐘を鳴らす。

人に依存しない対策を

　それでは今、取るべき内部不正対策とはどのようなものなのか。まずは社内でのルールづくりや社員の教育など、内部統制を徹底することが前提となる。そのうえで、システム側の基本的な対策としては、アクセス権限やログの管理、暗号化対策などが挙げられる。IPAの石綿氏は、内部不正経験者には、高いアクセス権限をもつシステム管理者が多く、「彼らは“うっかり”でも故意でも情報流出させてしまうことができる」と話し、「システム管理者のログをシステム管理者同士で監視したり、アクセス権限を複数人に分散させるなどの対策が必要だ」と説明する。

　また、IDC Japanの登坂リサーチマネージャーは、これら以外の対策として、DLP（Data Loss Prevention、情報漏えい対策システム）を挙げる。「暗号化は多くの企業がすでに導入しているが、暗号キーの管理はユーザーに依存することになり、何かあった際には守ることができない。また、データがあちこちに散在すると棚卸しができなくなり、どこに何があるのか把握できなくなる」ことから、「暗号化で完了するのではなく、コンテンツ側の制御に加え、アクセス状況やログを管理できるようにしなければいけない」と主張。データの流出そのものを防止する仕組みや、流出してしまっても後をたどれるようなシステムの導入を勧めている。

　このように、内部不正対策へのアプローチの手段は多岐に渡っている。そのなかで、セキュリティベンダー各社が提案する内部不正対策とはどのようなものがあるのか。次ページから紹介する。 ページ数:1/1 キャプション:

トレンドマイクロ　既存のセキュリティ製品にプラス

　企業がセキュリティ投資を行う際の課題として代表的なものがコストだ。とくに最近の「守りのIT」から「攻めのIT」へ投資先が移行する流れがあるなかでは、セキュリティ対策の重要性を理解していても、「守りのIT」ともいわれる収益に直結しないところに対して投資することを好まない企業は多い。

　トレンドマイクロでは、内部不正対策として、法人向けエンドポイント保護製品「ウイルスバスター コーポレートエディション」のオプション「Trend Micro情報漏えい対策オプション」を用意している。同製品は、登録したストレージデバイスを除くデバイスの接続を防ぐデバイス制御機能や、ファイル内の文書を検査して個人情報などを見つけ出し、ログの記録やポップアップによる警告、持ち出しを制御するデータ流出監視機能、クライアントPC内の個人情報ファイルの存在を可視化するデータ検出機能などで構成され、情報流出の事前・事後対策を行うことができる。また、オプション製品のため、ウイルスバスターコーポレートエディションを導入しているユーザーは新たに大がかりな投資をする必要がなく簡単に導入でき、かつウイルス対策と情報漏えい対策の統合運用が可能になることが特徴。「オプションのため価格も安い。また、既存のセキュリティ対策に追加するかたちのため、販売するSIerにとっても既存の顧客に対して提案しやすく、評価が高い」（宮崎謙太郎・トレンドマイクロのプロダクトマーケティング本部コンテンツセキュリティグループシニアマネージャー）としている。

　また、マイナンバー制度の施行によって、再度情報漏えい対策に対する関心が高まってきているといい、「今年前半の情報漏えい対策オプションの売り上げが、昨年の同時期と比べ倍以上になっている」という。とくにマイナンバーはどのような企業にも関係するため、業種や企業規模を問わず幅広く導入が進んでいるようだ。

マカフィー　暗号化プラスDLPでデータ保護を強化

　インテル セキュリティ（マカフィー）では、情報漏えい対策としてエンドポイントの包括的な情報漏えい対策を行う暗号化スイート「McAfee Complete Data Protection」を用意している。同製品ではハードディスクやファイルを暗号化することで、デバイスの紛失・盗難などがあった際にも中身を読み取れないようにしたり、ポリシーに違反するリムーバブルデバイスの制御やデータ転送などを防止することが可能だ。しかし、インテル セキュリティの平野祐司・マーケティング本部ソリューション・マーケティング部部長は、情報漏えい対策を行ううえでは暗号化だけでは十分ではなく、「データの中身をみて重要情報を特定し、持ち出しを防ぐことが必要だ」と強調する。

　そこで提案するのがDLP。同社は08年からDLP製品を提供してきた。DLPスイート製品の「McAfee Total Protection for Data Loss Prevention」では、ネットワーク、クラウド、エンドポイントなどにあるデータを保護。エンドポイント向けの「McAfee DLP Endpoint」では、メールの送信、ウェブへの投稿、印刷、スクリーン キャプチャ、クラウドへのアップロードなど、エンドユーザーの操作を監視し、重要なデータの流出をブロックする。平野部長はDLPについて、「導入のハードルが高いようにみられてきたが、企業の情報漏えい対策に対する意識が高まってきたこともあり、関心が集まってきている」と語る。暗号化製品が中小企業にも導入が広がっている一方、DLPはポリシー設定や重要情報の定義をきちんと行う必要があり、そのためのリソースが必要となることから、エンタープライズクラスの導入がメインとなっている。「セキュリティ製品を一元的に管理するコンソールである『McAfee ePolicy Orchestrator（ePO）』が入っていれば簡単に導入できる」（平野部長）ことから、既存顧客への普及を図っていく。

デジタルアーツ　間接漏えいや内部犯行を抑止

　さまざまな情報漏えい対策ツールを手がけるデジタルアーツでは、内部不正対策として誤送信対策やアーカイブ機能などを搭載したメールセキュリティ対策ソフトウェアの｢m-FILTER｣を中心に提案する。それだけでも内部不正対策として効果はあるが、よりソリューションとして機能を強化するために、自社や他社製品と組み合わせた対策も用意している。

　一つは、m-FILTERと同社のファイル暗号化・追跡ソリューション｢FinalCode」の連携。FinalCodeは特定のファイルを指定した人・グループのみで閲覧できるように暗号化し、アクセスログの追跡、遠隔での権限変更・削除などができる製品。m-FILTERとの連携においては、FinalCodeで添付ファイルを自動暗号化し、閲覧権限のある受信者のみがファイルを閲覧できるようになる。また、ファイルの遠隔削除も可能で、誤送信対策や間接的な情報漏えいを防ぐことができる。デジタルアーツの瀬川明宏・エンタープライズ・プロダクト・マーケティング部部長は、「情報漏えいには、外部からの悪意、人為的ミス、内部の悪意、間接情報漏えいの四つの経路がある。なかでも間接情報漏えいは、入口・出口対策を十分にしていても意味がない。仮に入口・出口で守れなかったとしても、FinalCodeで暗号化していれば、常に追跡しているため安心だ」と強調する。

　また、他社製品では、FRONTEO（旧UBIC）のEメール自動監査システム「Lit i View EMAIL AUDITOR」と連携し、内部犯行を起こす可能性のある人物を推測する「Lit i View EMAIL AUDITOR for m-FILTER」を用意。同製品では、m-FILTERがアーカイブしたメール一通一通の内容を、FRONTEOのもつ人工知能技術で解析し、会社への不満や情報漏えいにつながる可能性のあるデータをスコアリングし、監視対象者をあぶりだしてリストアップする。これにより、監視対象者のメール送受信を制御し、事前に情報漏えいへの対策をとることができる。昨年9月に提供を開始し、大手企業からの引き合いがあったといい、今後同製品の販売も強化していく考えだ。

[次のページ]