infoMode

情報セキュリティからテクノロジー、お役立ち情報などを発信します。

情報漏えいを防止するには?情報流出の経路とタイプを知る

情報は漏れるもの

情報は作られた時点で漏えいの危険に晒されています。こう書いてしまうと元も子もないかも知れませんが、事実です。情報はそもそも共有するために言語化されたものであって、それが伝わっていく性質を持つのはある一種当たり前のことなのです。

 

さて、世の中には様々な情報があります。プライベートなものからパブリックなものまで実に多種多様、星の数以上のデータがあります。私達が持っているデータはその星の数の中の一つかも知れません。しかし、その一つのデータがある人間を社会的に抹殺してしまうことがほどの威力を持つこともありえます。今一種の社会問題になりつつある代表的なものがリベンジポルノでしょう。実際に起きていることについては下記の記事等を参考にしてください。 

これだけの力を持つデータですが、流出してしまわないためにはどのような対策が必要なのでしょうか。まず対策のためには、情報漏えいのタイプ経路を知る必要があります。また、人の意思が介在しているかいないかが重要なポイントになります。

  スポンサーリンク

 

 

主な情報の流出タイプ:

人が漏えいについて主体的に介在している

 ・悪意を持った攻撃者による無差別な漏えい

 ・実生活での私怨を持ったものによる標的型の漏えい

 

人が漏えいについて主体的に介在していない

 ・ミスによりPCなどの記憶媒体を紛失した

 ・流出ウイルスに感染してしまった

 

さて、怖いのはどちらでしょうか。前者と思われた方。そうではありません。恐ろしいのは人が主体的に介在していないタイプなのです。

人が主体的に介在している情報漏えい

人が主体的に介在している、つまり流出させてやろうという意図があって行われる攻撃というのは数で考えれば実は少なく、また比較的簡単に対策を行うことができます。攻撃者による無差別な漏えいが怖ければ、重要な情報をストアしているサーバーはスタンドアローンネットワーク上のみで運営するなどハード面で対策を行うことができます。個人においても例えばCDやDVDなどの記録媒体に避難させておいたり、あるいはセキュリティソフトを導入し強固なPCセキュリティを実現してしまえばそれなりにリスクは減らすことができます。

 

リベンジポルノなどに代表される私怨による漏えいは、単純に弱みを掴まさせなければ良いだけです。裸の写真は例え恋人であっても撮らせない、破棄させるなどの行動を徹底すれば良いように。基本的には撮られた瞬間からどこにバックアップされているか不明なため、”撮らせない”限りは100%安全ではないことを肝に銘じるべきでしょう。

 

迷惑メールを通じたフィッシング詐欺などについては、各種ネット上での継続的な注意喚起の成果もあってかそれなりにエンドユーザーに知識がついてきたと感じるこの頃です。ちなみにフィッシング詐欺に遭わないための対策は以下の記事で紹介しています。

 守るべき情報の内容と所在が明確で、相手がどう攻撃するかもパターン化されている。つまり比較的、”何をすれば安全性が高まるか”明確なため対策も行いやすいのです。

人が介在していない情報漏えい

こちらが、大企業や行政機関などにとって恐れるべきものです。これはとてもソフトな問題を孕んでいて、ウイルスソフトを導入すれば良いというほどシンプルな問題ではないからです。例えば業績を上げたいという時に、実態を伴った施策と共に社員の意識向上をはかるための啓発運動を行うことがあります。しかし、人の意識を変えるのは簡単なことではないのは多くの経営者が痛感しているはず。

 

そして、このタイプの情報漏えいも同じことが言えます。情報セキュリティは突き詰めると各個人のセキュリティ意識にあるのです。どれだけ強固なウイルスソフトが入っていようが、ユーザーが未完成のプロダクトの写真をSNSに投稿するのを止めることはできません。例えスタンドアローンのネットワークで運用しているサーバーであっても、職員が何気なくスパイウェアを仕込まれたUSBメモリを差し込んだ瞬間にゲームオーバーです。そしてどれだけ気をつけていたとしても、多数行われる忘年会シーズンの飲み会で気がつけばカバンごとなくなっていたという事件は絶える事がありません。

 

人が介在していないタイプの情報漏えいというのはつまり、”流出させる気”が全くないのに起きてしまう流出のことです。

 

・公開してはいけない情報と理解していなかった

・忘れ物をしたなどのミス

・ウイルス感染等の被害にあった(無差別攻撃)

 

上のどのケースも、ユーザーは誰も流出させようとしていないのです。しかし結果的に流出してしまうわけです。そのシチュエーションも多種多様で、意図的に流出を狙うケースより遥かに対策が難しいのです。

スポンサーリンク

 

 

情報が漏れる経路について

情報漏えいの主な経路は大きく実体があるかないかに分ける事ができます。

 

実体があるもの

・大容量記憶装置(USBメモリやハードディスクなど)

・書類(ハードコピー)

 

実体がないもの

・人の話

・メールやウェブサイト、P2Pソフトなどインターネット上のやりとり

 

実体がある物に対しては、ハード的な対策を行えば問題ありません。例えば社内のパソコン持ち出し禁止や、USBメモリ等外部デバイスの使用禁止。クラウドが高度に発達した昨今では、外部記憶デバイスがないと仕事がなりたたないというシチュエーションは一般企業にはそうないでしょう。これらは企業用の監視ソフトなども無数に提供されているため、そうしたサービスを利用するのも一つの手になります。

 

書類などの紙の媒体に関しての取り扱いは企業であれば得意のはずです。社外の書類に社外秘とスタンプを押すなりして外に出ても問題ない情報、問題ある情報に分けてきちんと管理する。破棄する際にはシュレッダーにかけるなど、常識の範囲内で適切に処理しましょう。もちろん、書類の持ち出しや携帯電話のカメラによるコピーなども禁止する必要があります。

 

難しいのは実体がないものです。特に人の話はコントロールが難しく、いつ何かの拍子にポロッと口に出してしまうこともしばしば。やっかいなのは生身の人間とともに情報が運ばれているので、飲み会の場でお酒が入って気が緩んだとか、それを標的にしたハニートラップだったり、様々な流出の形が予想されてしまうのです。なので、重要な情報を知る人間は必要最小限にとどめることが重要となるでしょう。また、口外した場合の罰則を厳しくするなどして抑止力を高める必要もあるかも知れません。

 

メールやウェブサイトのやりとりについては、ウイルス感染などばかりに目がいきがちです。しかし、例えば社外秘の文書に含まれるキーワードをgoogle検索してしまうとか、メールの宛先を間違うなどヒューマンエラーによるものもしばしば見受けられます。そういったソフトな流出を防ぐには注意点を羅列した喚起書を作り周知徹底する他ないのが実情です。迷惑メールなどについては下記の記事で紹介しています。

まとめ

情報の流出には人が主体的に介在しているもの、していないものがありその中でも情報の運搬に関して実体があるもの、ないものに分けることができます。特に流出させるつもりなどなかったというケースは非常に気をつける必要があります。ウイルス感染をしない、変なメールを開かないなど当たり前の意識で防げる漏えいはいくらでもあります。

 

そして流出してはいけない情報を作り出してしまうことも問題でしょう。ハッキング対策など高度なセキュリティ防衛策を組むのも良いですが、セキュリティ安全への答えは案外身近な所にあるのかも知れません。

合わせてよみたい