開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2013/07/10

元CIA職員による機密情報漏えい事件は対岸の火事か?外部持出による漏えいを防げ!

連載:サイバーセキュリティ最前線

6月中旬に、米国家安全保障局(National Security Agency: NSA)による個人情報収集プログラム「PRISM」の存在をはじめとする機密情報が、同局クニア地域シギント工作センターのシステム管理者として勤務していたエドワード・スノーデン(Edward Snowden)氏によって暴露されました。この事件は日本でも数多く報道されており、米国はもちろんのこと、国内外で大きな反響を呼んでいますが、同局から個人情報漏えいが起きたということ自体についても、さまざまな憶測が飛び交っています。

NRIセキュアテクノロジーズ 上田 健吾

NRIセキュアテクノロジーズ 上田 健吾

セキュリティベンチャー起業後、慶應義塾大学大学院21世紀COE研究員(後期博士課程)を経て、2007年に野村総合研究所に入社。NRIセキュアテクノロジーズに出向し、銀行、生損保、クレジットカード業界をはじめ、数多くのセキュリティ関連プロジェクトに参加。CISSP、CISA、CISM、QSA、ASV、CAIS-Leadなど、セキュリティ系の資格を多数保有。IT雑誌、学会誌への寄稿や、ニュースへの出演経験、登壇経験も多数。業務を通して得られる最新の情報を展開。

国家の機密情報でさえも漏えいする

連載一覧
 ITセキュリティ教育機関SANSでは、エドワード・スノーデン氏はUSBメモリを利用して機密文書を漏えいした可能性があると報告しています。

 2010年にも、内部告発サイトであるウィキリークス(WikiLeaks)に膨大な量の米軍機密情報が漏えいされた事件が起こりましたが、この際にも、CDメディアやデジタルカメラのストレージといった外部記憶媒体が利用されました。

 この事件の後、2010年12月に外部記憶媒体の利用は禁止されていましたが、徹底は困難であり、職務上必要な担当者には利用が許可されていたことから、「システム管理者」という立場を持つエドワード・スノーデン氏によるUSBメモリの利用は、疑わしい行為であるとは受け取られなかったのではないか、とSANSは評しています。

 今回は、こうした事件の反省を活かし、外部記憶媒体の持ち込みによるセキュリティ上のリスクと、情報が持ち出されないための取り組みについて、ご紹介いたします。

外部記憶媒体の持ち込みによるセキュリティ上のリスク

 まずは、情報の持ち出しによる漏えいリスクが考えられます。この事件のように、故意に持ち出されて漏えいするケースもありますが、自宅など、組織外で業務を行うために持ち出し、その外部記憶媒体の盗難や紛失によって、持ち出されたデータが漏えいする事件も数多く見受けられます。

 NPO日本ネットワーク・セキュリティ協会の調査によると、2012年上半期における情報漏えいの原因として、不正な情報持ち出しに比べ、紛失や盗難の方が多かったことが報告されています。下図は、この調査報告書より情報漏えい原因比率のグラフを引用したものです。

photo
図 情報漏えい原因比率(件数)


 無事に自宅まで持ち帰ることができたとしても、自宅のPCがマルウェアに感染しており、自宅PC経由で情報が漏えいするケースも見受けられます。何年も前から注意喚起されている内容ではありますが、今年5月下旬に、独立行政法人 情報処理推進機構セキュリティセンターより、Winnyによる情報漏えいについての注意喚起が更新されており、いまだに自宅でP2Pソフトウェアを利用し、ウイルス感染するケースが後を絶ちません。

 また、持ち込んだ私用の外部記憶媒体がマルウェアに感染しており、業務ネットワーク内のOA用端末がマルウェアに感染し、インターネット上に情報が漏えいしたり、業務システムが利用不可能になってしまうというリスクも考えられます。

 たとえば、2008年末から急速に感染を拡げたConfickerと呼ばれるマルウェアについては、インターネット経由、ローカルネットワーク経由、外部記憶媒体経由の3種類の感染手段を持っており、セキュリティレベルを高めているはずの、データセンター内の内部ネットワークにおいても、持ち込んだUSBメモリなどから感染が始まり、内部ネットワーク内に蔓延するというケースが多く見られました。

 このように、外部記憶媒体の持ち込みには、情報漏えいのみならず、マルウェア感染のリスクも考えられます。

 こうした情報漏えいリスクを排除するため、私たちはどのような取り組みをしていく必要があるのでしょうか。

【次ページ】情報が持ち出されないための方法とは?

情報漏えい対策 ジャンルのトピックス

情報漏えい対策 ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!