また重大な情報漏洩インシデントが発生いたしました。

2015年6月1日、日本年金機構が管理する125万件の年金情報が流出しました。事の発端は、5月8日に年金機構の職員に届いたメールからです。このメールにはマルウェアが添付されており、それを知らずに添付ファイルを開封した職員のパソコンはこのマルウェアに感染してしまったのです。

メールの差出人はフリーメールを使用していたようですが、そのメールのタイトルが「厚生年金制度の見直しについて(試案)に関する意見」といった、いかにもありそうな文面であったことから、何気なく添付ファイルを開いてしまったようです。

しかしこの漏えい事故は、職員の行為が「軽率だった」とか、組織の上層部の「管理が甘かった」などということが原因でしょうか?人間がおこすうっかりミスは防ぎようがありませんし、それを非難することも意味がありません。

もしあなたが、大切な財宝を守るための歩哨として一晩見張りをさせられたとして、一瞬たりとも居眠りせずにその役目を果たせる自信があるでしょうか?

財宝を守るためには金庫にしまうかセキュリティの厳重な銀行に預けるのが当たり前です。同様に、大切な個人情報を守るためには、管理を人力に頼らずきちんとした仕組みを構築することが重要です。

今回の年金情報流出の構図は、ごくありふれたものです。組織の中に情報を管理する共有ファイルサーバがあり、この中にある情報を組織内のネットワークを通じて職員が参照していました。しかし、職員のPCがマルウェアに感染したことから年金情報が大量に流出しました。

このネットワークは組織外のネットワーク、つまりインターネットにつながっていたことから容易に外部からデータを吸い上げられました。このように多数の職員が自身のパソコンに機密情報を保持することから漏洩リスクは高まります。仮にマルウェアに感染していなくとも、職員がうっかりして(あるいは悪意を持って故意に)データを持ち去ることも簡単です。

もしも職員が10,000人いたとしたら、こうした漏洩リスクが1万倍になるということです。恐ろしい話ですが、ほとんどの組織はこのようなリスクに曝されたまま有効な手立てを打てずにいるのが現実です。セキュリティ教育、監視システムの導入、暗号化、守秘義務契約などは、情報漏洩の対策としてよく利用されていますが、根本的な情報漏洩防止策として機能していないということは、繰り返し報道される漏えい事故を見れば明らかです。

セキュリティ教育 ヒューマンエラーは0%にできませんし、日々新たなフィッシング、マルウェア、バックドアを仕込んだアプリなどの脅威が発生しています。
監視システム マルウェアに感染したPCや感染させた当人を特定できても、情報漏洩の防止にはなりません。
暗号化 簡単なパスワード設定や、安易なパスワード管理により漏洩するリスクはありますし、AES256のような暗号方式も明日破られるかもしれません。もし破られると、これまでに配布した暗号ファイルのすべてが曝されることになります。
守秘義務契約 法的に罰することはできても、漏洩した情報は取り戻せません。

 

大企業や国の機関ですら、このような情報漏洩事故を起こすことを考えると、情報漏洩を防止することの難しさがわかります。

SECUDRIVEはこうした問題を根本的に解決します。SECUDRIVEは、個々の職員(社員)のPCにデータを保管することを物理的にブロックしますので、マルウェア感染、うっかりミス、故意(悪意)による情報漏洩を一切許さないにも関わらず、これまで通りの情報共有による業務を可能にする画期的なソリューションです。

SECUDRIVEには、共有ファイルサーバからの情報漏洩を防止するSECUDRIVE File Serer、一度ファイルを保存すると外に出せなくなるUSBメモリなど、情報漏洩を防止する様々なソリューションを用意しています。

下図は、SECUDRIVE File Serverの機能を表しています。

情報漏洩、機密データ流出の対策をお考えの企業、公共機関、医療、教育、NGOなどの組織のCIO、CEOの皆様、是非SECUDRIVEのソリューションをご検討ください。今すぐに。

mautic is open source marketing automation