【内部犯罪による情報漏洩とその対策技術】(執筆:株式会社アークン)
●背景
特集
特集
近年、多発するインターネット事件の影響から、セキュリティ部門の強化を図る企業が増えてきています。しかし、こういったセキュリティ部門の強化は、外部からの侵入に対してのみ行われる場合が少なくありません。顧客情報や契約情報、社内重要文書など機密性・商品価値ともに高い情報は、内部の社員(関係者)によって盗難されるケースが大半と言われています。
事実、CSI/FBIによる「2001 Computer Crime and Security Survey」によると、外部からの不正アクセスやウイルスによる被害は数こそ多いのですが、その被害額はそれ程でもありません。しかし、内部でのコンピュータの不正利用や情報漏洩による被害は一度起こるとその被害額は計り知れないほど大きなものになっています。これは、終身雇用制の崩壊や経済状況の悪化によるモラル低下によって持たされていると想像できます。
今まで各企業は、これらの重要な情報などを「情報を直接扱う部署や担当者」の正規のユーザ以外には使用できないよう、アクセス制御を行うことや、暗号化ソフトを用いてデータを暗号化することによって対処してきました。しかし、これらの方法では正規のユーザの手による情報の漏洩に対処することは不可能です。
企業は今後、不正アクセスによる情報流出だけでなく、正規のユーザの手による内部犯罪に対しても、セキュリティの対策を強化し情報の漏洩を防がなくてはなりません。
ところで、暗号市場は、2007年には 4億5760万ドル規模になると言われていることをご存知ですか?安全なコンピュータ・ライフをおくるため、私たちは知らない間に暗号を使用しているのです。どうして暗号市場がこれほどまでに注目されているのでしょうか?
●情報セキュリティに足りない技術
現実のセキュリティをイメージしてください。現金、金塊、宝石、有価証券、重要書類など価値の高い物は、通常金庫の中に保管されています。そして、それを移動させる場合には、現金輸送車を利用するなど最善の注意が払われます。また、外部からの侵入による窃盗を防止するためや、内部から不正に持ち出されることがないようにビルの入り口には門番として警備員を配備していることでしょう。
一方、これを情報セキュリティに置き換えて考えてみると、現金輸送車は、SSLやVPN(バーチャル・プライベート・ネットワーク)などの暗号の仕組みに例えられ、また、門番はファイアウォールやウイルス・ワクチン・ソフトに例えられます。ところが、今まで情報セキュリティの世界では、現実ではあたりまえである金庫という概念がありませんでした。
万一現金輸送車が襲われたとしても、また、門番の目をうまくすり抜けたとしても、資産そのもののが、しっかりとした金庫の中にがあれば貴方の資産は守られることでしょう。外部からの侵入による情報漏洩に対抗する不正アクセス対策に絶対はありません。また、人的ミスによる情報漏洩も必ず起こるものです。だからこそ、データ(ファイル)の暗号化は効果的であり、注目されているのです。
株式会社アークン
鶴岡 秀臣
http://www.ahkun.jp/
(詳しくはScan本誌をご覧ください)
http://www.vagabond.co.jp/vv/m-sc.htm
《ScanNetSecurity》
