ウィキリークスは最近、多くのニュースの見出しを飾るだけでなく、多くの波紋を呼んでいます。言論の自由の権利と国家安全保障上の利益を守る必要性のバランスに疑問を投げかけているのです。最近のフォーブス誌のインタビューで、ウィキリークスの創設者ジュリアン・アサンジ氏は、同サイトが政府の情報機関にとどまらず、企業秘密の暴露にも着手しつつあることを明らかにしました。
コンピュータやネットワークのセキュリティ対策の多くは、「我々対彼ら」という外部からの攻撃からデータを守るという考え方に基づいていますが、実際には内部、つまり権限を持つ従業員からの脅威の方がはるかに大きいのです。意図的か不注意か、妨害行為か単なるミスかに関わらず、データ漏洩のリスクは甚大です。
Solera Networksは、WikiLeaksがもたらす脅威と、情報漏洩全般の増加を深く認識しています。Solera Networksの調査によると、ほとんどの組織が機密データを保護する準備ができていないことがわかりました。IT部門は、サイバー攻撃や情報漏洩の発生源や範囲を特定するための体制が整っていません。
Solera Networksの広報担当者はメールで次のように説明しました。「調査では、回答者の96%がリアルタイムの状況認識の重要性を認識していることが明らかになりました。しかし、侵害や漏洩の範囲を判断できる能力があると回答したのはわずか19%でした。さらに、調査で行われた詳細なインタビューでは、攻撃から十分な情報を収集し、将来の再発を防止できるとされるグループはごく一部に過ぎないことが示されています。」
ジョン・ダッシャーによるマカフィーのブログ記事では、「テクノロジーで魔神を瓶に戻すことはできませんが、組織が今後この種の問題に対処するために必要なツールを提供することはできます。データ損失防止(DLP)テクノロジーは、USBメモリの使用をブロックしたり、本来は「普通の」許可されたユーザーが、競合他社への急な乗り換えやウィキリークスのような組織への情報漏洩に備えて、数百MBもの機密情報を突然ラップトップにコピーした場合に警告を発したりすることができます。」と説明されています。
マカフィーだけが唯一の選択肢ではないことは確かです。トレンドマイクロは最近、データ保護機能の拡張を目的としてMobile Armorを買収しました。また、Zecurionのような小規模な企業も、企業の機密データの監視と保護を支援するツールを提供しています。さらに、データの移動日時と場所を追跡するためのフォレンジック証拠も提供しています。
内部脅威への認識が高まり、情報漏洩対策ツールの種類も増えているものの、万能薬は存在しません。マカフィーのダッシャー氏は、「IT部門は、明確に識別可能な規制対象データ(クレジットカード番号、社会保障番号、その他の個人情報など)を保護することはできるかもしれませんが、企業の競争力を高め、存続を左右する情報、つまり知的財産を特定できる立場にないのが現状です。機密情報の保護は、単なる技術問題ではなく、真にビジネス上の問題なのです」と明言します。
効果的な情報保護には、データの分類、機密情報とそうでない情報の識別、そしてそれらを管理するためのポリシーとルールの作成など、相当の先行投資が必要です。しかし、こうした初期投資を終えれば、適切なツールを導入することで機密情報の監視と保護を強化でき、自社がウィキリークスの次の被害者にならないよう確実に守ることができます。
