内部不正による情報漏えいをどう防ぐ？：セキュリティ強化塾（2/4 ページ）

[キーマンズネット]

マイナンバーで注目される「情報流出をチェックする仕組み」

　2016年より本格運用が始まった「マイナンバー制度」は、企業における情報漏えい対策も本格化させた。今後マイナンバーは活用領域を医療や金融などにも広げる予定だ。それはブラックマーケットにおけるマイナンバーの価値がさらに高くなるということでもある。当然、企業における情報管理の重要性はより増していくだろう。万が一、マイナンバーを含む個人情報の流出が発生したら、企業の信頼は大きく傷つく。

　多くの企業ではガイドラインに従ってマイナンバーのためのシステムを導入したり、社内制度を整えたりした。また、自前で強固なセキュリティ対策を講ずるよりも、マイナンバー関連業務を専門に扱う、つまり制度が求めるセキュリティを確保した事業者にアウトソーシングするという選択をしたところもあるだろう。ただし、業務を委託した場合でも委託元に監督責任があることは忘れてはならない。

　そこで、再注目されているのが情報流出を防ぐ「DLP」（Data Loss Prevention：情報漏えい対策）の仕組みだ。かつてはゲートウェイにおける対策として専用の機器／ソフトウェアを稼働させていたが、現在ではPCにインストールしたセキュリティ対策ソフトがPC内のデータを把握し、重要なデータが外部に送信されることを検知するといった仕組みも用意されている。

図2 機密データの流出を防ぐDLP。機密データと思われる文字列を検査し、それがメールやUSBデバイス、メールなどの経路で動いたときにブロック／通知／ログ記録を行う仕組みが実現できる（出典：トレンドマイクロ）

　DLPの仕組みでは、クレジットカード番号や電話番号、マイナンバーなど特定の文字列をルールとして設定することで、例えば「1ファイルに10以上のマイナンバーが含まれるファイルを外部に送信したときに止める」などの動作が実現できる。また、止めるだけでなく「ログを記録する」「警告を出す」などの処理も選択できるため、従業員に対して「情報のコントロールを行っている」ということを知らせ、内部不正の抑止力とすることも可能になっている。

　これまでDLPは、どのような情報を止めるかというルール作成が難しく、運営コストが大きいとされていた。しかし現在ではルールのテンプレートを提供しているソリューションも増えた。過去にDLPを検討したものの見送ったという担当者も再度検討してみるタイミングになったといえるだろう。