日本版SOX法対応だけでは不十分？「エンドポイント偏重」対策から脱却し、企業の重要情報を守る

エンドポイントに偏りすぎたこれまでのセキュリティ対策

RSAセキュリティ マーケティング統括本部 本部長 宮園 充氏

　セキュリティ関連の話題として相変わらず注目度が高いのが、情報漏えいだ。各社がセキュリティ対策を講じ続けているにも関わらず、情報漏えい事件は後を絶たない。日々報じられる漏えい情報の種類には、会社の財務情報、顧客リストなど個人情報、開発・設計データなど知財情報などがあり、漏えいの原因は誤操作、管理ミス、紛失や置き忘れ、盗難などだ。しかし、最近目立つのが、不正アクセスや意図的な持ち出しである。宮園氏はその中でも、内部不正、特にシステム権限を持った従業員による意図的な情報漏えいに注目しているという。

「従来より、システム権限を持った従業員は、システムを保護する立場にあり、不正をすることは少ないだろうという性善説でとらえてきました。そのため、情報漏えい対策は、誤操作や管理ミス、意図したものであっても一般従業員によるものという想定のもとに、エンドポイント中心にセキュリティ対策や監視が行われてきました。」

　実際、個人情報保護法の施行時には、一般従業員からの個人情報の流出を防ごうと、パソコンの持ち出し禁止、USBメモリなどのリムーバブルメディアへの書き込み禁止、パソコンのアクティビティ把握のためのログ監視などの対策がとられ、一定の効果が出ていると考えられている。ただし、セキュリティ対策がエンドポイントに偏ることには大きな問題があると宮園氏は指摘する。

「企業の情報漏えい対策は、これまでエンドポイントばかりに注力されてきました。しかし、昨今の事件のとおり、情報漏えいの経路はエンドポイントからだけではありません。もっと全体を見渡して対策を行う必要があります。エンドポイントに集中する現在の対策は、ユーザーの利便性を損ね、生産性を著しく低下させています。」

　企業がエンドポイントの対策にばかり注目する理由として宮園氏は、これまでの情報漏えい事件の多くがエンドポイントからの漏えいだったためだと指摘する。漏えいの手法が明らかになり、そこで危険だとわかったポイントに偏重的な対策を施してきた訳だ。

　もちろん危険だとわかったポイントに対策を行うこと自体は悪いことではないが、宮園氏が心配するのは、既知の危険なポイントに対策を行ったことで安心してしまう恐れがあるということだ。エンドポイントだけではなく、ネットワークやサーバ、データベース、アプリケーション、さらにはバックアップのために保管されているテープアーカイブさえ、情報漏えいの経路になり得る。これらのポイントにも目を向け、全体的な対策を行うべきだというのだ。