事例集/技術解説 - セキュリティ

あらゆる情報が電子データとなってアクセスしやすくなった現代において、データ活用の利便性が一気に高まったと同時に、流出のリスクも跳ね上がりました。

悪意を持って不正に情報を持ち出すだけでなく、意図しない鞄やパソコンの置忘れ、紛失などから情報漏洩につながるケースも少なくありません。企業においては、増大するデータ流出リスクへの対処が必要です。

ブライエではお客様先で仕事をすることが多く、最近では自社資産のPCをお客様環境に持ち込んで作業させていただくことが増えました。

データの持ち出しや漏えいが実際に発生したわけではありませんが、発生した場合に及ぼす影響は計り知れず、発生リスクは可能な限り軽減すべきです。

お客様データを持ち出さないことは大前提のルールとして社員全員に周知徹底しています。

しかしそれだけでは十分な対策をしているとはいえません。

そこで意図しない事故を防ぐために「外部デバイス制御」を実現するソフトを導入しました。

外部デバイス制御とは、USBやDVDなどの外部メディアに対する操作を制御する機能です。

例えばPCにダウンロードしたデータをUSBメモリにコピーしようとした場合、外部デバイス制御によってUSBの使用を許可されていないPCでは差し込んだUSBを認識せず、データのコピーを行うことができなくなります。

またDVDからデータを読み込むことは可能でも、書き込むことはできないようにすることも可能です。

さらに外部デバイス制御では、個々のPC端末ごとに異なる制限を行うことが可能です。

そのため例えば「AさんのPCでは業務上の理由で一時的にDVDへのデータ書き込みを可能にするがBさんのPCでは不可能である」というような、細やかな設定も可能です。

外部デバイス制御を行うことで、USBメモリの使用自体を無効化し、私物のUSBメモリにお客様データをコピーするなどの重大なセキュリティ事故を未然に防ぐことが可能です。

「不正のトライアングル理論」をご存じでしょうか。

米国の組織犯罪研究者であるドナルド・R・クレッシーによって提唱された理論で、不正行動は次の3つの要素がすべてそろった場合に発生するというものです。

• 動機・プレッシャー：不正を行う理由。金銭的な問題や、過剰なノルマなど。
• 機会：不正を行うことが可能な環境。データアクセス権限を持っている、ログが残らないなど。
• 正当化：不正を行うことへの後ろめたさの言い訳があること。組織のため、一回だけ、など。

これらの3つの要素のうち「機会」は社内の仕組みによって成立させない工夫が比較的可能な要素です。

外部デバイス制御も「機会」の成立を防ぐ仕組みの一つであり、データが持ち出されるという状況をそもそも発生させないことが可能となるのです。