情報資産に関する企業のインシデントとは?
企業の事業運営に影響を与える恐れのある事件や事故のこと、あるいは重大事故につながる可能性があったミスや事象を「インシデント」と総称することがあります。情報セキュリティにおいては、「セキュリティインシデント」として、対象となる事象を定義し、適切な報告や連絡など、必要な対応をとることを規定している企業が多いでしょう。
必要な対応の中には2次被害などの被害の拡大を防止するための社外への広報なども含まれるでしょう。情報漏えいなどの事故が発生した場合、状況の把握と共に顧客や取引先など関係者向けに必要な情報を正確に伝えなければなりません。
情報資産に関わる事件事故の85%は「人為的なミス」が原因
情報資産に関するインシデント事例を見ると、「行方不明」「ミス」「紛失」という言葉が多いことがわかります。情報資産が行方不明になるのは、主に管理上のミスによると考えられます。先ほどの顧客情報の誤表示など「誤操作」については、メールの誤送信による流失といった事例も散見されます。いずれにしても、インシデントの多くは、「人為的なミス」によって引き起こされていると言えます。特に、個人情報にかかわるインシデントについては、日本ネットワークセキュリティ協会の調査をみると個人情報の漏えいの75%以上は、「紛失・置き忘れ」「誤操作」「管理ミス」「設定ミス」などの「人為的なミス」により発生していることがわかります。
出典:特定非営利活動法人 日本ネットワークセキュリティ協会
「2015年 情報セキュリティインシデントに関する調査報告書」
http://www.jnsa.org/result/incident/
したがって、顧客情報など特に重要な情報を守るためには、「人為的なミス」へどのように対処するかがカギとなります。
「人為的なミス」を100%回避することは不可能
しかし、こうした人為的なミスを100%防ぐことは、ほぼ不可能です。どれほど注意を払ったとしても、人間はミスを犯してしまうものだからです。したがって、情報資産管理においては、「人がミスをしても情報を漏らさない」という視点からの対策が必要です。
つまり、たとえUSBメモリや端末など情報資産の入ったものを紛失したとしても、情報資産そのものを外部の人間が確認できないような対策を講じる必要があるということです。そして、情報資産自体を確実に保護する方法として、「暗号化」があります。
情報資産を守るための「暗号化」
「暗号化」を行えば、持ち主以外の人間が外部記憶装置などに保存されているデータを容易に閲覧することはできなくなります。また、たとえば一般的なドキュメント作成ソフトでも、簡単に暗号化を行うことができます。WordなどのMicrosoft Officeソフトでは、パスワードを設定してファイルデータを暗号化する機能が備わっています。
また、最近のUSBメモリやHDDなどの外部記憶装置にも、暗号化機能を備えたものが登場しています。外部記憶装置は特に紛失や盗難の恐れがあるので、暗号化を徹底する必要があります。
さらに、法人向けにファイル暗号化ソフトも提供されています。高度な暗号化処理や、大規模な企業で全社的に統一されたルールのもとで暗号化を行う場合には、こうした専用ソフトを活用することも有効な手段です。
出典:独立行政法人 情報処理推進機構「暗号化による情報漏えい対策のしおり」
http://www.ipa.go.jp/security/antivirus/documents/12_crypt.pdf
