ひと昔前までは、情報の流出経路といえばUSBメモリーやCD-Rといった物理メディアか電子メールが大部分を占めていた。しかし、現在ではスマートフォンなどの携帯機器やクラウドストレージなど新しい経路から情報が流出するケースが増えている(図3)。
データを送信する際に使われる回線の種類も、勝手に設置した無線LANアクセスポイントやLTE/3G回線を使うモバイルルーター、スマートフォンのテザリング機能など多様化する一方だ。こうした状況を理解し、毎年のように増え続ける流出経路を漏れなく押さえる。これが三つめの新常識である。
そのために必要なのは、ITの新技術や新製品、新サービスなどの動向を常にキャッチアップすること。最新のセキュリティ情報に目を配りながら自社の対策を定期的に見直し続けることも重要だ。
情報の流出経路を絞る
大日本印刷のように、情報の流出経路を絞り込むことでリスクを極限まで減らすアプローチもある(図4)。同社では2007年、内部犯行により863万件を超える個人情報が流出する事件が発覚。この事件の反省を踏まえ、徹底した物理メディアの持ち出し制限により、リスクを減らす対策を打ち出した。「個人情報を物理メディアに書き出せる担当者を数人に限定し、物理メディアを取り扱うエリアを他のエリアと完全に分離した」(大日本印刷 DNPグループ情報 セキュリティ委員会 情報セキュリティ本部の池田健本部長)。
物理対策として、入退室ゲートの設置や金属探知機によるチェック、生体認証、物理メディア制限端末の導入など何重もの制限をかける。さらに、ネットワークなども完全に独立させるという徹底ぶりだ。これほどの大掛かりな対策を実践するにはコストがかかるため、簡単には真似できない。だが、情報漏洩対策を徹底したい企業ならぜひ参考にするべきだ。