情報セキュリティの10大潮流 [2] 第2の大潮流「情報漏えいへの社会的取り組み」【後編】 | ScanNetSecurity
2024.04.29(月)

情報セキュリティの10大潮流 [2] 第2の大潮流「情報漏えいへの社会的取り組み」【後編】

 本連載では、情報セキュリティの大潮流について解説していきます。連載では、情報セキュリティの進化の中、10大潮流を取り上げ、社会環境の変化とともにその動きを振り返り、将来の方向感についても考えていく予定です。

特集 特集
facebookLINE
 本連載では、情報セキュリティの大潮流について解説していきます。連載では、情報セキュリティの進化の中、10大潮流を取り上げ、社会環境の変化とともにその動きを振り返り、将来の方向感についても考えていく予定です。

 10大潮流は「セキュリティ管理の確立」と「安全安心な電子社会の構築」の二つのカテゴリ毎にそれぞれ5大潮流を定義して概説していきます(*参考1)。第2回目は、第2の大潮流として「情報漏えいへの社会的取り組み」について説明します。

*参考1
http://www.nttdata-sec.co.jp/article/security/090715.html

3.その他情報漏えいにかかわる法制度

(1)不正競争防止法

 デジタル化やネットワーク化、人材の流動化等に伴い、企業の営業秘密が国内外の競争他社に流失し、営業秘密をめぐるトラブルが増大しています。このため、不正競争防止法による保護が求められ、営業秘密の保護の明確化が強く求められるようになってきました。平成2年の「営業秘密」の不正取得、使用、開示行為に対する民事保護規定の創設以降、平成15年に営業秘密侵害罪が創設され、その後罰則規定が強化されてきましたが、規定対象範囲が限定されていたため実効性の点で課題がありました。このため、本年の通常国会で改正案が可決成立し(*参考2)、営業秘密侵害罪の目的要件が拡大され、より実態に合わせた営業秘密(企業秘密)の法的保護が可能になりました(*図1)。今回の主な改正は、1.刑事罰による営業秘密の保護強化、2.不正競争行為に対する民事的保護の強化(損害賠償の立証負担軽減)、3.情報化の進展に沿った規定の整備の3点です。

 但し、不正競争防止法の対象となる営業秘密は、以下の要件が必要となりますので、営業秘密に対するアクセス制御等のセキュリティ整備が不可欠になります。

―営業秘密の要件―
・アクセスが制限され秘密として管理されていること(秘密管理性)
・事業活動に有用な技術上または営業上の情報であること(有用性)
・公然と知られていないこと(非公知性)

図1:不正競争防止法の改正(規定範囲の拡大)
https://www.netsecurity.ne.jp/images/article/10dai_2_1.jpg
*参考2
http://www.meti.go.jp/policy/economy/chizai/chiteki/unfair-competition.html#21

(2)割賦販売法

 2008年に割賦販売法が改正され、クレジットカード事業者に対して個人情報保護法ではカバーされていないクレジットカード情報の保護に必要な措置を講じることが義務付けられました。同時に、カード情報の漏えいや不正入手が刑事罰の対象となり、クレジット業界のセキュリティ基準(PCI DSS)(*参考3)への準拠と普及がさらに求められるようになりました。

*参考3
http://www.nttdata-sec.co.jp/article/pcidss.html

4.漏えい事件と原因(図2、3参照)

 情報漏えいにかかわるインシデント件数は、依然として高い水準にありますが、NPO 日本ネットワークセキュリティ協会(JNSA)の2007年の調査によると、情報漏えいの原因としては「紛失・置忘れ」、「盗難」、「誤操作」の比率が多く上位となっていますが、2006年に比較して「管理ミス」が2007年には大幅に増加し、「紛失・置忘れ」とほぼ同じ割合となったことが特徴的です。これは内部統制への取り組みが進み、組織内情報の管理が強化され、組織の建物内での誤廃棄や紛失についての公表が進んだ結果だと推測されます。

 情報漏えい経路別件数の割合で見ると、最もインシデント件数が多い媒体・経路は「紙媒体」が全体の40%を占め「USBメモリ等可搬記憶媒体」の割合は、2006年の8.2%から12.5%へ増加しているようです。また、2006年には Winny、Shareで知られる不特定多数のコンピュータ間でファイル(データ)をやり取りできるファイル交換ソフトによる情報漏えい事件が多発しましたが、2007年はWebやネットを経由したインシデントの割合は、やや減少しているようです。

図2:漏えい原因比率(件数)
https://www.netsecurity.ne.jp/images/article/10dai_2_2.jpg
図3:漏えい媒体・経路比率(件数)
https://www.netsecurity.ne.jp/images/article/10dai_2_3.jpg

5.知的生産性の高度化に向けて

 情報漏えいへの対策には、監視や利用制限、内外からの脅威に防御線を構築する等様々なソリューションが実用化・提案されています。本年、米国で開催されましたセキュリティ・カンファレンスにおいて、展示のトレンドはDLP製品 (Data Loss Prevention)でした。

 一方で、そもそも情報セキュリティは…

【執筆:NTTデータ・セキュリティ株式会社
エグゼクティブ・セキュリティマネージャ 林 誠一郎】

*各規格名、会社名、団体名は、各社の商標または登録商標です。

【関連リンク】
NTTデータ・セキュリティ セキュリティ対策コラム
http://www.nttdata-sec.co.jp/column/index.html
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec

《ScanNetSecurity》

PageTop

アクセスランキング

  1. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  2. 雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

  3. セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

  4. スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談

    スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談PR

  5. 重い 高い 検索も使いにくいメールを企業の 6 割が使う理由

    重い 高い 検索も使いにくいメールを企業の 6 割が使う理由

  6. TvRock にサービス運用妨害(DoS)と CSRF の脆弱性

    TvRock にサービス運用妨害(DoS)と CSRF の脆弱性

  7. 富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

    富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

  8. NETGEAR 製ルータにバッファオーバーフローの脆弱性

    NETGEAR 製ルータにバッファオーバーフローの脆弱性

  9. NDIAS「車載器向けセキュリティ技術要件集」活用したコンサルサービス提供

    NDIAS「車載器向けセキュリティ技術要件集」活用したコンサルサービス提供

  10. 札幌で「CSIRT のはじめ方」ワークショップ 5/16 開催、北海道在勤在住者は参加費 5 万円が無料

    札幌で「CSIRT のはじめ方」ワークショップ 5/16 開催、北海道在勤在住者は参加費 5 万円が無料

ランキングをもっと見る
ホーム 特集 特集 記事
TOP