個人情報、機密情報の流出経路について

情報漏洩対策を考えるには情報の流出経路を知る必要があります。度々報道される個人情報流出に関するニュースでも具体的な流出経路までは触れられる事はほとんどありません。

情報が流出する経路や原因は大旨決まっています。ここではどのような流出経路が存在するのか大まかに説明します。具体的な対策についてはリンク先を参照して下さい。

情報の流出経路について.

情報の流出経路、パターンは大きく分類する事が出来ます。このコンテンツでは、以下の３つに大別し、それぞれの流出経路の仕組み、行うべき対策を説明しています。分かりやすく説明するためにこのように大別していますが、これらは相互に関係しています。

経路１： コンピュータ ネットワーク からの流出.

コンピュータ ネットワークを介して流出するケースです。ネットワークといっても無線LAN や 有線LAN 、インターネットなど様々な経路が存在し、求められる対策も異なります。代表的なネットワークを利用した盗難の手口、流出パターンは以下の通りです。

ウイルスによる情報流出

特定のプログラムがウイルスに感染し、ネットワーク（インターネット）を介して外部に情報が流出するケースです。これも幾つかのパターンがあります。報道される個人情報流出の多くは、このケースによるものです。

参照 => Winny （ウィニー）　/ Ｐ２Ｐ について

盗聴行為による情報流出

通信内容を盗聴する事で情報が流出するケースです。情報そのものが盗聴されるケースもありますが、ネットワークサービスへのアクセスコードが狙われます。

一般家庭においては無線ＬＡＮが普及しており、通信内容を簡単に盗聴する事が出来ます。ID や パスワードなどのアクセスコードが盗聴された場合、更に被害が拡大します。

不正アクセス・不正侵入

インターネット（WAN）から パソコン （LAN） への不正侵入、無線LAN アクセスポイントからの不正侵入による情報流出です。上記、盗聴行為により不正にアクセスコードが流出し、侵入されるケースも考えられます。

ブロードバンドが普及する以前のダイアルアップ（電話）によるインターネット接続環境では特に問題になりませんでしたが、常時接続や無線LAN の普及により、企業よりも一般家庭の方が不正侵入に対する危険性が高まっています。

参照 => 無線LAN の危険性について

例えば、連絡用に社員宅から会社のメールサーバーへの接続を認めているケースでは、社員宅のセキュリティが甘いと、会社のネットワークへの不正侵入、情報漏洩の危険性も高くなります。

経路２： 盗難・紛失など物理的要因で流出するケース.

盗難や紛失による物理要因により情報が流出するケースです。具体的には、ノートパソコンや USBメモリなどの携帯ストレージの盗難・紛失が挙げられます。

単純に記録された情報が流出するだけでなく、パソコン内にネットワークサービスのアクセスコードが記録されていた場合、更に被害が拡大します。社内ネットワークに接続するためのアクセスコード、例えばメールサーバ（受信）は更なる情報漏洩に直結します。

盗難、紛失による情報漏洩対策には、起ってしまった場合の対策と、起こさないための予防策が肝要です。

盗難・紛失に遭遇した場合の対策　（事後）

万が一、盗難・紛失に遭った場合に備えた事後対策が必要です。備えあればなんとやらです。

• 被害の把握と迅速な対策
  • 盗難により流出した情報によっては、即時に不正侵入の危険性が高まります。ネットワーク管理者が被害状況を把握し迅速に対応できる必要があります。企業の場合、説明責任も求められますが、リテラシーのない人を欺くような会見は、更に企業の信頼を損ねる結果を招きます。とどのつまり危機管理マニュアルです。
• 技術の活用
  • 万が一盗難に遭った場合、第三者が記録された情報を閲覧できない仕組みが必要です。特に、一般家庭向けに販売されているパソコンや OS は高度な仕組みを持ちません。Windows XP Professional や Windows 2000 、最近出荷されたばかりの Vista Business は、ディスク内にある特定のフォルダ、ファイルを暗号化する機能を持っています。
  • 参照 => 暗号化による情報漏洩対策 ～ EFS の活用 （スタンドアローン）
  • 参照 => リムーバブル デバイスを安全に ～ EFS の活用例
  • 参照 => より安全に EFS を活用する（TPM） ～ ノートPC の場合

USBメモリなどの外部の記憶装置を活用し、重要な情報はパソコン内に記録しないといった普段からの心掛けも有効です。一緒に盗難に合えば意味はありませんが、EFS 暗号化を外付けHD に行った場合は、HDが盗難にあっても復元のための鍵はパソコンい保存されているため情報流出を防ぐ事も出来ます。（データの持ち運びに有効）

また、OS が EFS暗号化 に対応していない XP HomeEdition の場合、セキュリティ機能を持つ外付けHD や USBメモリを利用するのも有効な手段の一つです。

参照 => 情報流出防止機能を持つ記憶装置 ～ USBメモリ

盗難・紛失に合わないための対策　（予防）

盗難・紛失に遭わないために考えられる予防対策です。普段からの心掛けが肝要であり、必要があれば行動を規制する必要もあります。

• 行動の規制
  • 普段からの行動を規制する考え方です。機密情報や個人情報は持ち出さない、情報が流出した場合の罰則の強化などが考えられます。自営業者が運用するネットショップや教職員など個人情報を自宅で扱うケースは、セキュリティに関心を持って頂く以外ありません。
• セキュリティグッズの活用
  • 外出先でノートパソコンを利用する場合は、ワイヤーロックを利用するなどセキュリティ関連グッズを活用します。また、ノートパソコンそのものが盗まれるケースばかりではありません。
  • 席を立ったわずかな時間に他人が操作出来てしまっては、USBメモリやフロッピーによってデータが持ち出される可能性もあります。手間を惜しまないように簡単にシステムをロックできるグッズも販売されています。

参照 => 情報漏洩 / 盗難 対策グッズの活用 【ノートパソコン関連】

経路３： 情報の持ち出し　～ 複数の要因が絡むケース

報道されるケースでもっとも多いのが、持ち出された情報が個人のネットワーク環境から流出するケースです。

特に、Winny などの P2P ファイル交換ソフトがインストールされた個人のパソコンにデータをコピーし、それが個人のネットワーク環境からネットワークを介して流出するというパターンです。

企業においては、教育の徹底と罰則の強化以外に対策はありません。また、個人でネットショップを運用するケースや教職員など自宅のパソコンで個人情報を扱うケースでは、自分で総合的な対策を行う必要があります。 このサイトでは、このような方を対象に説明しています。

万が一、情報が流出した場合、企業であれば説明責任が求められます。中には OS のパスワードが設定されているから安全だと平気で主張する企業もあります。このような対応は更に企業の信頼を損なう結果となります。

この標題のトップへ　２ / ５