個人情報保護対策の安全管理措置
個人情報を含む、企業の機密データは安全に管理しなければなりません。個人情報保護法第20条に「個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない」という安全管理措置の義務規定があります。
この安全管理措置に対して、経済産業省のガイドラインでは、組織的対策、人的対策、物理的対策、技術的対策の4つの分野で対策を考えることが重要としています。
経済産業省では、技術的対策の安全管理措置として講じなければならない事項として8項目を挙げています。
企業ではさまざまな情報漏えいの危険性から、少なくとも上記の点において機密データを守る体制を築かなければいけません。そのためには、どのような状況で情報漏えいが起こり得るかを知る必要があります。
情報漏えいの分類
情報漏えいは、漏えい元と意図したものか否かによって3つに分類できます。
1つ目は、内部ユーザーによる善意、つまり意図しない情報漏えいがあります。これはユーザーとしては情報漏えいに気づいていないのですが、インターネットのクラウド上のデータが誰でも見られるようになっている、メールの誤送信やネットワークアプリケーションの誤った使用によって外部に流れるべきでない内部データが外部へ送信されてしまう、などが例として挙げられます。また、機密データの入ったUSBメモリやパソコンを紛失してしまうといった物理的な漏えい経路も考えられます。
2つ目は、内部ユーザーによる悪意、つまり意図した情報漏えいです。さきほどの韓国のクレジットカード会社や日本の教育大手企業における情報漏えいはこのパターンです。委託業者を含む内部の人間が売却による金銭利益目的で不正に取得するケースがほとんどです。
3つ目に、外部ユーザーによる情報搾取です。これは標的型攻撃のようにインターネットを介してマルウェアを侵入させ、内部ユーザーをボットネット化させてデータセンターの必要情報までアクセスするという、より危険で巧妙な手口が使われます。例として、米国の大手スーパーで2013年クレジットカード情報が1億件以上漏えいした事件が挙げられます。
国家、犯罪組織がバックについていたり、アングラ系サイトから取得した攻撃用ツールが悪用されたりするケースも多いのが現状です。また、他のサイトで取得したユーザー名とパスワードのリストを業者経由で入手し、さまざまなインターネットサービスの認証サイトでそのリストを試して、ログインできたものだけを悪用するというリスト型攻撃も、今年に入ってから多く起きていますが、これも外部ユーザーによる情報搾取に当たります。
次回はそれぞれ挙げた3つのパターンの情報漏えいについて、具体的な例を挙げつつ、企業における対策方法を解説していきます。
- 三輪 賢一
- パロアルトネットワークス合同会社 外資系ネットワークおよびセキュリティ機器ベンダのプリセールスSEを15年以上経験。現在は次世代ファイアウォールおよびエンタープライズセキュリティを提供するパロアルトネットワークスでSEマネージャーとして勤務。主な著書に「プロのための図解ネットワーク機器入門(技術評論社)」がある
