著者: Simon and Daniel

エドワード・スノーデン氏 (Edward Snowden)の内部情報流出を契機に米国国防省はそれまで米国国防省がNSAのような政府機関を通じて非常に膨大な個人情報を収集してきたことが明らかになった。1972年ペンタゴン文書流出事件で有名な前米軍の分析家ダニエル・エルスバーグは今回のスノーデン氏のNSA最高の機密文書流出事件を米国の歴史上最も深刻な情報流出事故だと称しました。

今回の事件で“最も深刻”だったのはこれまで米国政府が収集してきた個人情報の水準でした。米国の人々は反テロという名目で個人情報を無差別に収集できる自国のPatriot法が制定された際に感じた恐怖と不安感を今回のニュースを通じて再度実感することとなったのです。

無差別な個人情報収集行為を批判してきた言論とセキュリティの専門家たちは、個人自らがクライアント側の暗号化ソリューションを通して個人情報を保護しなければならないと話し、特にクラウドのようなストレージソリューションが少しずつ大衆化されてきている状況でこのような個人財産の情報保護対策は非常に重要だと強調しています。しかしスノーデン氏の事件以降個人情報の侵害に対するユーザーの意識が高まり、クラウドサービスはユーザーから否定的な視線を受けているのが現実です。

政府情報の側面からみると、今回のスノーデン氏の事件は一般人にとってまた他の意味も含んでいました。スノーデン氏は非常に強力な内部情報統制システムを取り揃えているNSAとその提携機関で働いていました。それでも彼は国家と組織の営利を損なう可能性のある機密文書を入手することができ、その機密文書をUSBメモリにコピー後、デバイスをオフィスの外に持ち出しました。

NSAやその提携機関のような強力なセキュリティインフラを取り揃えていなければならない環境で、スノーデン氏のような情報流出事件が発生したということは内部情報のセキュリティシステムを大きく覆し、NSAとその提携機関が内部情報へのアクセスをしっかりと管理できず、ユーザーの内部情報の取り扱い状況を把握できていなかったことを示した事件だと言えるでしょう。

今回の事件は現在の米国で組織内の内部情報保護管理システムの現況を見せつけた事例だとも言えるでしょう。一研究調査によると企業で発生した情報流出事故のうち、外部要因による事故は25%に満たず、残りの75%は内部者による所作であることが明らかとなりました。

このような状況にも関わらず、企業は相変わらず内部情報流出防止システムの導入をためらっています。その理由は保護システムを適用することにより業務効率が低下する可能性があるという点を懸念しているためです。さらに会社の経営者自身がセキュリティソリューションによる内部情報流出防止は不可能だという認識下に社員たちが内部情報の取り扱い同意のみを受けて情報保護に対する基礎教育だけを行う企業もあります。社員に情報保護の教育を行うことももちろん必要ですが、このような姿勢では企業としてあまりにも消極的なセキュリティ対策だと言えるでしょう。

企業はこれまで社員たちが自身のノートPC、タブレット、スマートフォンなどを会社に持ち込み使用することを許可してきました。社員たちは自身が持ち込んだ個人デバイスに企業の機密資料を保存して業務を行うこともあり、そのような個人デバイスをカフェなどに持っていくこともあったでしょう。
このような社員たちの制限のないデバイスの使用により会社の機密資料は複数の場所でセキュリティの危険を露出しています。企業は機密情報そのものに対するセキュリティのみならずその情報が保存されたデバイスに対しても必然的にセキュリティを適用しなければなりません。

クラウドサービスの人気が高まるにつれ、企業は自身が多くの努力を注いだ新製品のデザインデータなどを外部にある社員に渡す際、送信されるデータがどのように使用されるのか統制することができない状態になりました。企業ができることはただ機密誓約書や情報保護教育、または社員たちの良心を信じ、問題が起きないよう願うだけです。社員を信頼するのは大切なことですが、盲目に信じるというのは懸命ではありません。

なんのセキュリティシステムもなしに万一、一級機密文書が社員の不注意や意図的に流出されたとしたら企業は誰がどこでどのようにそのような事態を起こしたのか知ることができません。たとえ誰が何をどのように流出したのかわかったとしてもそれによる被害は社員を解雇し、警察に通報しても補償を受けられるものではないのです。

結局企業自身が変化しなければならないのです。内部情報流出防止システムに対する観点を変えなければならず、一日でも早くセキュリティソリューションを導入することが必要です。スノーデン氏のようなセキュリティ事故を防止するには企業は既存の暗号化のようなセキュリティ技術と合せて使用するセキュリティソリューションの導入が必要です。
なぜなら既存の暗号化技術はデバイスの紛失や盗難にのみ焦点を合わせた情報流出防止ですが、多くの人々が該当のデータ使用を許可された権限者により発生するものだということを意識していないという部分が最も危険なためです。よって企業には暗号化以外にもより強力なソリューションが必要なのです。

内部情報の流出防止のためにはコピー防止のような技術を活用した保存デバイスが必要です。このような企業の悩みと問題点を解決するためにSECUDRIVEは中小企業も自社のセキュリティポリシーに簡単に統合させることのできるセキュリティソリューションを提供しています。
SECUDRIVEは任意のファイルコピーを防止し、USBファイルサーバーやクラウドストレージシステムなど様々な業務環境で企業の大切なデータを保護します。コピー防止とともにSECUDRIVEのデバイス制御ソリューションを導入するとUSBメモリやタブレット、スマートフォンなど登録されたデバイスのみPCに接続を許可することでデバイスによる情報流出を防止することができます。

原本リンク:http://www.secudrives.com/archives/19863/

mautic is open source marketing automation