国家の機密情報でさえも漏えいする

　ITセキュリティ教育機関SANSでは、エドワード・スノーデン氏はUSBメモリを利用して機密文書を漏えいした可能性があると報告しています。

　2010年にも、内部告発サイトであるウィキリークス（WikiLeaks）に膨大な量の米軍機密情報が漏えいされた事件が起こりましたが、この際にも、CDメディアやデジタルカメラのストレージといった外部記憶媒体が利用されました。

　この事件の後、2010年12月に外部記憶媒体の利用は禁止されていましたが、徹底は困難であり、職務上必要な担当者には利用が許可されていたことから、「システム管理者」という立場を持つエドワード・スノーデン氏によるUSBメモリの利用は、疑わしい行為であるとは受け取られなかったのではないか、とSANSは評しています。

　今回は、こうした事件の反省を活かし、外部記憶媒体の持ち込みによるセキュリティ上のリスクと、情報が持ち出されないための取り組みについて、ご紹介いたします。

外部記憶媒体の持ち込みによるセキュリティ上のリスク

　まずは、情報の持ち出しによる漏えいリスクが考えられます。この事件のように、故意に持ち出されて漏えいするケースもありますが、自宅など、組織外で業務を行うために持ち出し、その外部記憶媒体の盗難や紛失によって、持ち出されたデータが漏えいする事件も数多く見受けられます。

　NPO日本ネットワーク・セキュリティ協会の調査によると、2012年上半期における情報漏えいの原因として、不正な情報持ち出しに比べ、紛失や盗難の方が多かったことが報告されています。下図は、この調査報告書より情報漏えい原因比率のグラフを引用したものです。


　無事に自宅まで持ち帰ることができたとしても、自宅のPCがマルウェアに感染しており、自宅PC経由で情報が漏えいするケースも見受けられます。何年も前から注意喚起されている内容ではありますが、今年5月下旬に、独立行政法人 情報処理推進機構セキュリティセンターより、Winnyによる情報漏えいについての注意喚起が更新されており、いまだに自宅でP2Pソフトウェアを利用し、ウイルス感染するケースが後を絶ちません。

　また、持ち込んだ私用の外部記憶媒体がマルウェアに感染しており、業務ネットワーク内のOA用端末がマルウェアに感染し、インターネット上に情報が漏えいしたり、業務システムが利用不可能になってしまうというリスクも考えられます。

　たとえば、2008年末から急速に感染を拡げたConfickerと呼ばれるマルウェアについては、インターネット経由、ローカルネットワーク経由、外部記憶媒体経由の3種類の感染手段を持っており、セキュリティレベルを高めているはずの、データセンター内の内部ネットワークにおいても、持ち込んだUSBメモリなどから感染が始まり、内部ネットワーク内に蔓延するというケースが多く見られました。

　このように、外部記憶媒体の持ち込みには、情報漏えいのみならず、マルウェア感染のリスクも考えられます。

　こうした情報漏えいリスクを排除するため、私たちはどのような取り組みをしていく必要があるのでしょうか。

【次ページ】情報が持ち出されないための方法とは？