セキュリティ対策コラム注目されるガバナンス時代の個人情報保護の仕掛け

組織内部者に起因した不正・誤りによる事故・事件は相変わらず多く、個人情報漏洩対策を進めている企業にとっても解決が難しい問題の一つになっています。また、来るべきガバナンス時代のセキュリティに向けて、キーの一つであります人的セキュア性の確保は急を要すると考えますので、今月のコラムに取り上げることにしました。

人的セキュア性の確保に教育が欠かせないのは言うまでもありませんが、定着には時間をかけた継続性と仕掛けが求められます。ここでは、今注目されている仕掛けについて説明してまいります。

仕掛けの一つは監視です。企業の情報処理機器の私的利用に関して許容範囲やプライバシについて議論があるところですが、企業を対象にしたインターネット利用の監視について、財団法人インターネット協会が調査したところによりますと、「www閲覧先、内容の監視（17．5％）」、「利用全般に渡る監視（10．6％）」、「メールの用途、内容の監視（9．7％）」と続き、特に監視は行っていないのは67．2％になっています。以前のコラムで解説しましたSOX法でも電子メールの保存が求められたり、所謂フォレンジックと言われるように証拠保全や不正のトレース情報としても否応なくこれらのモニタリングが求められてくることでしょう。

情報システムやネットワークの使用をあらかじめ設定した規則（セキュリティポリシ）に従ってモニタし、操作記録やソフトウエア・ハードウエア環境の検知により、操作の抑止や利用を自動的に制御するものです。例えば、ファイル出力制御については、管理者に承認されたファイルのみ平文出力、期限付き平文ファイル出力、暗号化ファイル出力、一切出力不可能から選択可能としたり、ハードウェア構成の変更履歴を残し、管理者へ緊急通知したりするものです。セキュリティ確保ためのクライアントPCや運用者の負担を軽減した方法と言えます。この仕掛けは、既存のネットワークやシステム構成の中で実現できますので、コスト負担が小さくて効果が期待できるものです。

次に注目されている仕掛けは「気付かせないセキュリティ」です。 「気付かせないセキュリティ」では、あえて人間が自覚しなくても、システムにより安全な環境が自動的に構築されるものです。クライアント（PC）の接続に際して、特別に用意されたネットワークにおいて検疫し、ワクチンやプログラムの未更新を検出して自動的に更新し（治療）、社内ネットワークに接続する仕掛けです。所謂検疫システムの進化したものです。

また、クライアント側でのPCをディスクレスにし、プログラム処理はサーバ側で実行する等して、クライアント側でのセキュリティ上の考慮を不要にするシンクライアントが挙げられます。現状ではコストがかかる場合があること、導入する上での性能や業務適用性の検討が必要などの課題はあるものの、今後期待される仕掛けだと考えています。

た、プログラム処理自体はクライアント側のPCを使い、処理終了後に出力結果やファイル類をサーバに移し、PC側には情報を残さないソリューション（シエアードPC）も出てきております。この方式では、PCの既存能力を使いますので、情報漏洩を防止した上でPC上でのマルチメディア処理等が可能となります。 「気付かせないセキュリティ」は、利用者のストレスフリーをねらった仕掛けで「（2）仕掛け2の利用制御」でも自動化が進んでおり、今後不可欠となる条件ではないでしょうか。