意外に知られていないように感じるのですが、情報セキュリティ事故に於ける、内部犯行による機密情報持ち出し(流出)事故って少なくないんですよね。ランサムウェアにやられたとか外部犯行による事故の方が派手に見えるのか注目を浴びていますけど。実際、IPAが毎年発表する10大脅威の常連にもなっているくらいです。

独立行政法人情報処理推進機構発表の2023年版情報セキュリティ10大脅威より

2023年版の情報セキュリティ10大脅威でも4位に入っていて、昨年の5位から1ランクアップしているところも注目点になります。昨年から今年にかけて報道された大企業での事件もあった影響だとは思いますが、中小企業レベルで言うと結構な頻度で発生していると認識しておいた方が良いでしょう。実は、持ち出された側の企業が気が付いていないなんて事もあり得る話です。何故なら、不正に持ち出されたことを知る手段を持っていないからです。

さて、このような不正な機密情報持ち出しを防ぐにはどうしたら良いのでしょうか?そもそも未然に防ぐことは出来るのでしょうか?

少なくとも情報システム担当者のいない企業では、未然に防ぐことは難しいと言わざるを得ません。何故かと言うと、多くの中小企業では「情報セキュリティ基本方針」も「情報セキュリティ規定」も定めていないからです。意外に思うかもしれませんが、それらを定めておかないと「そもそも何が機密情報なのか」を規定することが出来ないからです。一般的には「情報セキュリティ規定」に基づいて文書の重要度を定め、その重要度に応じた保管管理の方法を定めます。また、後述するシステムによって持ち出し操作を行われる際のアラートレベルも設定することが出来ません。なので、まずは「情報セキュリティ基本方針」と「情報セキュリティ規定」を定めるところから行ってくださいという事になります。

その上でどうするのかですが、このメルマガでも何度か出てきている「資産管理ツール」の導入を行うことになります。「資産管理ツール」の名前だけ見ると「資産を管理するだけかよ」って思われがちなのですが、実際には情報セキュリティツールの一つであり、パソコンやサーバー上のファイルに関する挙動の管理や、外部メディアへの書き出し、メールでの送信などの制限も出来たりします。

例えば、良くある手口としては機密情報のファイルをリネームし持ち出し可能ファイルに偽装してメールで自分のプライベートなアドレスへ送信するという動作ですが、資産管理ツールが適切に設定されていれば「リネームの段階で警告を出す」事が出来ますし、「メールに添付する際にも警告を出す」事が出来ます。何かする度に警告を出せば犯行へのモチベーションを削ぐことが出来るわけです。また、それらを突破して外部に持ち出した場合には資産管理ツール上に証拠が残りますので、利用される前に書面にて警告することも可能ですし、利用された際には警察へ告発することも可能です。

このように、事前には警告の連発でモチベーションを削ぎ思いとどまらせる効果が得られますし、それを突破された際にも事前に証拠と共に書面での警告を行うことが出来ます。最悪、不正利用された際には証拠を元に警察へ告発することが出来ますので犯罪として刑事的な責任を取らせ、尚且つ、民事的な責任を取らせることも可能になります。そこら辺は事前に「情報セキュリティ規定」に基づき「就業規則の懲戒規定」などを変更しておくこと、そして「情報セキュリティ規定」に基づいた教育をしっかり行っておくことで心理的な抑止力にもなるわけです。

先に「情報システム担当者がいない企業では未然に防ぐことは難しい」と記しましたが、それは、資産管理ツールの導入時や運用しながらのチューニングが難しいからになります。専任の情報システム担当者がいれば日々の運用を考慮しつつ導入時のチューニングが可能ですし、運用に入ってからはアラートの出方を見ながらチューニングすることが可能になります。しかしながら専任の情報システム担当者がいないと現実問題としては、それらのチューニングは難しいと言っても良いでしょう。また、各社それぞれの業務を知らないとチューニングの勘所みたいなものを知ることは出来ないので業者に丸投げ(金で解決)を行うことも難しいツールになっています。

ここからは宣伝になりますが、弊社の「情報システム担当者業務受託」ではオプションにはなりますが、ここら辺の対応は可能となっております。情報システム担当者のいらっしゃらない企業・団体様は一度御相談頂けると幸いです。当画面右下の問い合わせチャットから御連絡くださいませ。