2013年に企業が所有する重大な情報が漏えいした件数は1333件、1年の365日で割ると1日あたり3.65件にも上る。そして1件あたりの平均想定賠償額は1億6,024万円だ。1日3.65件と賠償額を掛け合わせると、およそ5億8,488万円となる。毎日、5億8,488万円の被害が発生しているとなると、すぐにでもなんらかの手を打つ必要がある。

このように重要な情報漏えい事件が発生すると、企業は莫大な損害を被ることになる。そうした状況を踏まえ、エムオーテックス株式会社(以下、MOTEX)が新たなプロジェクトを発足させた。その内容を紹介する発表会が開催されたので紹介しよう。

同社は、冒頭で紹介したように、もはや社会全体の問題である情報漏えいに関わるインシデントの解決、防止に貢献していく啓発PRプロジェクト“NO MORE情報漏えいプロジェクト”を発足させた。それに伴いオープンするプロジェクト特設サイトの紹介のほか、プロジェクト第一弾としてスマートデバイスの資産管理・生産管理・盗難紛失対策を行うスマートデバイス管理ツール「LanScope An Free(ランスコープ アン フリー)」についてのお披露目と内容の説明があった。

発表会では、日本屈指のセキュリティ著名人である株式会社ラック取締役の西本逸郎氏、HASHコンサルティング代表取締役である徳丸浩氏も登壇した。



■企業の「情報漏えい」を「自分ごと化」
発表会は、MOTEX代表取締役社長である河之口達也氏の挨拶から始まった。同社は24年前に創業したセキュリティ専門のソフトウェアメーカー。富士キメラ総研「2014年ネットワークセキュリティビジネス調査総覧 上巻」の「IT資産/PC校正管理ソフトウェア」の部門では、10年連続シェアNo.1を記録しているそうである。国内では、7500社に導入実績があり「日経コンピュータ顧客満足度調査2014-2015」の「総合運用管理ソフト(サーバー/ネットワーク管理系)部門」顧客満足度調査では見事に第1位となった。

河之口氏によると、情報漏えい事件が完全に撲滅できない要因のひとつとして、セキュリティがわかりづらく、どうしても人任せになってしまうという点があるそうだ。そうしたセキュリティの根本的なとらえ方に対して、経営者、従業員、一般のユーザー、それぞれの立場の方に必要な情報を、できるだけわかりやすく伝えることが大事だと言う。そこで「情報漏えい」を他人事ではなく「自分ごと化」して、それを啓発するために“NO MORE情報漏えいプロジェクト”を発足に至ったと、経緯を説明した。

エムオーテックス株式会社代表取締役社長 河之口達也氏 エムオーテックス株式会社代表取締役社長 河之口達也氏

■情報漏えいのリスクを知ってもらう
引き続き、同社事業推進本部執行役員の池田淳氏より、“NO MORE情報漏えいプロジェクト”についての詳しい説明があった。

同氏によると、情報漏えい対策は、“禁止”よりも“抑止”が重要であるという。人は情報漏えいにつながる行動を取る前に、必ず何らかの意識があるので、その意識を変えようというものだ。企業には、様々な部署や役割分担があるため、それに合わせあらゆる立場において情報漏えいを「自分ごと化」しなければならない。そのためには複雑なセキュリティを誰にでも“わかりやすく”する必要がある。

ということで、わかりやすいコンテンツで情報漏えいのリスクを知ってもらうために、ケーススタディやコラムを公開する“NO MORE 情報漏えいプロジェクト”特設サイトを、今回、公開することにしたのだそうだ。

エムオーテックス株式会社事業推進本部執行役員 池田淳氏 エムオーテックス株式会社事業推進本部執行役員 池田淳氏

■スパイ対策が必要不可欠
株式会社ラック 取締役最高技術責任者の西本逸郎氏は、情報漏えい事件に関する全般の話をした。情報漏えい事件としては、外部から直接社内のインフラに侵入されたり、スマートフォン(スマホ)やパソコン(PC)を盗まれて、情報を抜き取られたりと、様々な方法で情報が盗まれている実態を紹介。そして最大の脅威とも言える内部が原因で発生する情報漏えいに関しても言及。仕事用のスマホやPCをうっかり紛失してしまったり、退職の腹いせにPCを自宅に持って帰ったりするというものだ。外部からの侵入に対しては脆弱性対策として侵入の検知で対応、仕事用スマホやPCは防止策として暗号・アカウント管理を行うことが重要であるという。

そして考えておかなければいけないことに、スパイ対策があるそうだ。特権の管理や監視、システムアドに成りすました行為はチェックする必要がある。そして権限を持った内部の人間の犯行に最大の注意を向けなければいけないという。

「人間の記憶は消せない。1日10件くらいの個人情報なら覚えてしまう人はいる。単純計算で年間に3650件以上の記憶を持ち出されてしまう。」と内部犯行による情報漏えいの危険性を指摘した。対策としては、費用対効果を悪くしたり、懲戒内容を重くして割に合わないようにしたりする策で止める方法があるそうだ。

株式会社ラック 取締役西本逸郎氏 株式会社ラック 取締役西本逸郎氏

■セキュリティをわかりやすく正確に伝えたい
HASHコンサルティング代表取締役の徳丸浩氏は、1985年京セラに入社後、ソフトウェアの開発、企画に従事。1999年に携帯電話向け認証課金基盤の方式設計を担当したことをきっかけにWebアプリ ケーションのセキュリティに興味を持ったそうだ。

2004年に同分野を事業化し、2008年独立してWebアプリケーションセキュリティを専門分野とするHASHコンサルティングを設立。以降、脆弱性診断やコンサルティング業務の傍らブログや勉強会などを通じてセキュリティの啓蒙活動を行っている。

今回、“NO MORE情報漏えいプロジェクト”の監修を担当している。徳丸氏は、ややこしいセキュリティをどれだけわかりやすく正確に伝えるかを、プロジェクトが始まる前から重要な関心事としていたそうである。

2000年代に入り情報格差、デジタル・デバイドが叫ばれた頃は主に情報の量が問題であった。しかし、現在は、デマ、詐欺、低品質の情報がむしろ問題となっているという。質の高い情報をいかにして必要な人に届けるかといったことが難しい時代になってきたわけだ。

徳丸氏としては、“NO MORE情報漏えいプロジェクト”の場を借りて高品質な情報を提供したいという。従来の“悪い”セキュリティ解説の問題点としては「古い常識の劣化コピー」、「正確だが難解過ぎる」、「抽象的過ぎてどう行動したらよいのかがわかない」といった問題点があったという。

わかりやすく、伝わりやすい言葉でセキュリティ意識を高めて行くこと、現役のセキュリティコンサルタントの立場から、最新の具体的な行動指針を届けたいとしている。

HASHコンサルティング代表取締役 徳丸浩氏 HASHコンサルティング代表取締役 徳丸浩氏

発表会では、プロジェクト第一弾として発表する、スマートデバイスの資産管理・生産管理・盗難紛失対策を行うスマートデバイス管理ツール「LanScope An Free(ランスコープ アン フリー)」についての説明もあった。

LanScope An Freeは、盗難・紛失対策ツールだ。そしてセキュリティツール史上、国内初の無償提供となる。iOS、Android、Windowsスマートフォン・タブレットの紛失・盗難対策として「リモートロック(遠隔ロック)」「リモートワイプ(遠隔データ消去)」「パスワードポリシー」の3つの機能を搭載。また、LanScope An Freeのインストールや操作方法に関する問い合わせに無償で電話やメール対応できるサポート体制を構築しているという。

BYODでビジネスを便利にしようという流れにおいて必須なのが情報漏えい対策だ。絶対な安全は存在しないと意識しつつも自分の端末をビジネス利用したいと思っているのであれば、本プロジェクトのサイトでセキュリティの知識を得、さらにLanScope An Freeを導入して実際の被害を可能な限り防ぐ工夫をしてみることをおススメする。

“NO MORE 情報漏えいプロジェクト” の特設サイト
スマートデバイス紛失・盗難対策ツール“LanScope An Free”
エムオーテックス株式会社

情報セキュリティ白書2014
独立行政法人情報処理推進機構
2014-07-15