パソコンにおける情報漏洩対策について

2. 情報漏洩対策とは（全体概要）

まずはじめに組織における情報漏洩対策の概要について説明いたします。

組織における情報漏洩対策には大きく分けて外部からの攻撃（クラッカーなど）に対する対策と、内部からの漏洩に対する対策があります。情報漏洩事件の多くは内部からの漏洩によるものと言われており、今や内部漏洩対策は欠かせないものとなっています。（図3）

内部からの漏洩に対する対策を考えるに当たり、ポイントとなるのは性善説と性悪説という考え方です。（図4）

性善説では、悪い人間はいないという前提で社員は自分の担当する範囲の情報にしか興味を示さない、つまり機密情報を外に持ち出さないと考えます。このため、誰もが全ての機器や情報にアクセスができる環境が作られることになります。
それに対して性悪説では、社員は機密情報の持ち出しを狙う危険な存在と考えます。そのため、担当する範囲の情報にしかアクセスできないよう制限し、組織内の行動は全て記録され追跡できる環境が作られることになります。
情報漏洩対策という点から考えると「性悪説」に従って対策を行うのがベストであるように思いますが、社員の行動を完全にコントロールすることは難しく、運用にも莫大な費用が必要になります。さらにアクセス制限によって情報漏洩が全て防げるようになるわけではありません。

このように情報漏洩対策は「性善説」と「性悪説」、どちらか一方だけに基づいた運用ではうまく進めて行くことができません。従って「性善説」に従いつつも「性悪説」も考慮し、リスクが大きく、かつ対策のパフォーマンスが高いところから順に対策を進めて、内部犯罪のリスクを低減させていくのが現実的な対策となります。

図3 内部からの情報漏洩対策状況

図4 情報漏洩対策の戦略

ページの先頭へ ▲