企業の不十分なセキュリティ対策に由来する大規模なデータ侵害事件は、もはや日常茶飯事とも言えます。最近では何十万もの政府系の機密文書が公開されたWikiLeaks問題が世間に衝撃を与えました。こうした事件を目の当たりにして、データ・セキュリティの重要性を改めて認識し、「情報漏洩は他人事ではない」という戒めととらえた企業も多いのではないでしょうか。

ここ数年にわたり多発しているデータ漏洩、そしてそれに伴う深刻な被害を目の当たりにしておきながら、いまだ多くの企業では明確なデータ・セキュリティ・ポリシーが欠如しており、漏洩を阻止するための十分なセキュリティ・ツールも導入されていないのが事実です。内部への立ち入り制限など、自社のインフラ設備や施設などを物理的に保護する対策は万全でも、社外秘の機密情報、デジタル資産などソフトの保護がおろそかになっているという例が多く見受けられます。企業にとって最も価値ある資産はソフト、つまり知的財産です。機密性の高いデータや財務関係の書類、買収計画、顧客情報、重要な業務メール、発表前の製品情報、その他の企業資料はいずれも、本来ならば確実に保護すべき最も重要な資産なのです。

企業の機密情報をいかに保護するか

企業のデータやコンピュータ、デバイス、インフラを保護するためには、防御のセキュリティ・アプローチを全社的に、かつ多層的に展開する必要があります。その第一歩は、強力なデータ・セキュリティ・ポリシーの定義と実施です。プライバシー設定を適切に管理し、特定の情報へのアクセス権を付与するユーザや、公開可能な機密データとその閲覧を許可するユーザを明確に定義します。　また、情報流出の発生源と経路を整理することが重要となります。　例えば、メールやデータ転送のアプリケーション経由なのか、USB、ハードディスクなどのストレージ経由なのか、また、それらは個人の意図的な行為、巧みなソーシャル・エンジニアリングによる誘導、操作ミスや置忘れといった人的要素、無秩序なP2Pアプリケーションの利用が可能な環境依存、さらには、OSやアプリケーションの脆弱性を悪用するマルウェアによる行為などが要因として検討できます。

次に、蓄積済み、転送中、使用中などデータのライフサイクル全体にわたりセキュリティ・ポイントを考慮し、複数のアプローチで機密データを保護できるように特定のデータ・セキュリティ・ソリューションを実装します。その際、検出機能を備えただけの「事後対応型」ではなく、未然に防ぐ「事前対応型」のソリューションを導入することがデータ漏洩の防止により効果を発揮します。