2010年 情報セキュリティインシデントに関する調査報告書から

日本ネットワークセキュリティ協会（JNSA）の「2010年 情報セキュリティインシデントに関する調査報告書 ～個人情報漏えい編～」から。最新の日本国内の状況を知る上で貴重な資料です。本編、付録それぞれ 50ページ以上ありますが、企業の情報セキュリティを扱う立場にある方は一度ご覧になることをお勧めします。

この報告書の内容で、注目すべき傾向はこのようなものです。

• 原因としては、「管理ミス」、「誤操作」、「紛失/置き忘れ」という3つの合計で80%に。いわゆる外部からの攻撃というよりは、内部の問題が多いことがわかります。
• 流出媒体として一番多いのは「紙媒体」で約70%。その後「USB等可搬記録媒体」の12.4%、「電子メール」の6.8%と続きます。
• 業種として一番多いのが「公務」で33.1%。その後「金融業、保険業」、「教育、学習支援業」と続きます。

なお、上記の割合はすべて「発生件数ベース」であり、「流出したデータ数ベース」ではありません。データ数をベースにすると、大量に流出した事件が1つあると全体の割合が大きく左右されてしまうため、今回は発生件数ベースで見てみました。

意外なことに、家で業務をするなどの理由で不正にデータを持ち出してしまうケース（「不正な情報持ち出し」）というのはそれほど多くないようです（上記の「紛失/置き忘れ」は許可されている状況下でデータを持ち出し、紛失してしまったというケースです）。最近は個人情報の持ち出しについてはかなり意識されているということでしょうかね。

この報告書の結果から見える一つの点は、「セキュリティ」といってもシステム的な面だけでなく、ユーザーの意識や行動に起因するものもかなり多い、という状況です。

「管理ミス」や「誤操作」は基本的に人間のミスに起因するものです。人間はどうしてもミスをするものなので、そのミスをシステムでカバーする、またはそもそもミスを起こりにくくする、という観点から仕組みを作る必要があります。たとえば「BCCに入れるべきアドレスをCCに入れてしまった」というような典型的なケースを避けるために、通常のメールソフトを使わずに配信専用のツールを使う、などの方法も簡単な一例ですね。

外部からの攻撃に備えると同時に、ヒューマンエラーによる情報流出被害を最小化するためにいかにシステムやツールを活用できるか。こういった提案力が求められる時代、特にユーザーの観点に立った現実的なソリューションを提供できるよう考えていきたいと思います。