著:クロスファンクショングループ プロダクトマーケティング室
インフラソリューション推進部 菅 博
内部の機密情報が外部に漏れることを「情報漏洩」、特に個人情報が漏れることを「個人情報漏洩」と呼びます。インターネットを中心とした情報化社会は利便性を高める一方で(個人)情報漏洩の危険を高めており、実際に100万人規模の情報漏洩事件が続いたことで、情報管理・データ管理の徹底は企業責任を問われるようになりました。
情報の漏洩はデータの不当な流出と同義なので、データを預かるストレージは内部データを安全に保護する仕組みを持っていなければなりません。ストレージにおけるデータ保護の技術的な説明は次章以降で説明しますが、ここではデータ流出の原因について整理しておきます。
データ流出の原因と対策
PCやUSBメモリの紛失、ウィルス感染によるデータの流出などは個人の不注意や管理の仕組みに問題がある場合に発生します。こういうケースでの流出をシステムで抑制することには限界があり、最終的には社内ルールの策定と遵守の徹底で予防するしかありません。
現実的にはUSBメモリの使用禁止やPCおよびメモリの持ち出し禁止を徹底し、業務用PCを持ったままでの外出先からの直帰を禁止するなど「○○の禁止」という事項が並ぶようになるため、結局は守る側の意識の高さに任せるしかないというのが現状です。
データの悪用を目的として、故意にデータを持ち出すケースも多々あります。PCやメモリの盗難など物理的に何かを持ち出すこともあれば、ハッキングのようにインターネット経由で不正にデータにアクセスする方法も採られます。また、データの不正持ち出しについては悪意を持った第三者が関係する場合を考えがちですが、実際には情報漏洩の80%が内部の人間が関与しての犯行と言われており、企業は社員のデータアクセスに関しても十分な注意を払う必要があります。
データ保護の最も分かり易い方法は、データにアクセスする必要のない人間をデータの置かれている場所に物理的に近寄らせないことです。社員証を見える場所に携帯することで社員と外部者を区別できるようにするという基本的な処置に加えて、社員であっても指紋や静脈認証により個人を区別することで、個人の属性に応じて立ち入ることのできる場所に制限を設けることができます。
これに加えて、システム的にデータ漏洩を防止する方法は多岐に渡ります。古くは外部からのネットワークアクセスを遮断するためのファイアウォールがあり、実際にストレージのデータに辿り着くまでにサーバ認証やユーザー認証の仕組みを設けることで、不正アクセスを防止することが可能になります。また、データを暗号化しておくことにより、データを持ち出す事ができたとしても内容がばれないようにしておくことも有効な方法です。最近では、暗号化と複合化をオンラインで実施するような装置も出てきていますが、具体的な技術については後の章で解説します。
コンプライアンスへの対応
コンプライアンスは「法令遵守」と訳されますが、もともとは要求や命令に応じることを意味しており、一般市民が単に法令に従うことを期待するモラルのようなものと区別するために、企業に対するコンプライアンスをビジネス・コンプライアンスと呼ぶことがあります。具体的に言うと、金融商品取引法や会社法、ISO27001などに従うことを意味しますが、企業活動を支えているのがITシステムである以上、ビジネス・コンプライアンスとはITシステムを適切に統制することと密接な関係があります。
一例としては電子メールをあげることができますが、企業活動全般において利用されている電子メールは情報伝達のログとして位置付けることが可能なため、適切な監査システムを導入することが求められます。そして、そのメールが法的証拠として意味のあるものであることを保証する仕組みも持っていなければなりません。
このように考えてくると、コンプライアンスや内部統制に対応することをストレージの観点から眺めるなら、「適切なコンテンツ管理」ということに尽きます。ストレージ内に保存されるコンテンツは、情報源でありログであり、かつ証拠としての意味合いを持つことがあるからです。従って、ビジネス・コンプライアンスに対応するには、コンテンツのセキュリティに加えてデータの保全性にも気を配る必要があります。整理すると、コンテンツに関して次のような環境を作り出す必要があります。
- コンテンツの不正アクセスをさせない
- コンテンツの改竄をさせない
- コンテンツへのアクセスログを残す
- コンテンツを無くさない
これらはそれぞれ「ACL」、「WORM」、「ログ収集」、「バックアップ、DR」という技術と結びついていますが、これらについては後の章で説明します。
コラム一覧のページに戻り、続きをお読み下さい。
