2003年個人情報保護法の施行から20年が経過した現在、企業における情報管理の必要性は定着しつつも、まだ漏洩事件は絶えません。また、個人情報に限らず企業営業秘密の不正持ち出しによる摘発は年々増加傾向にあり、雇用の流動化による副作用として、社会の重要課題となっています。

 情報を「盗む」という行為に対する問題意識を従業員に徹底させることの難しさが根本的な課題の一つになっているかもしれません。企業の備品を盗めば、「窃盗」であり、最も基本的な倫理規範から逸脱していることは誰もがわかることです。情報は盗んでも、元の情報自体が無くなるわけでもなく、減るわけでもありません。情報を盗んでばれたら「何罪になるか」、即答できる人はどれくらいいるでしょうか。「情報を社外に持ち出すことに対する問題意識の低さ」が情報漏洩事件の起こりやすさの一因になっているのではないでしょうか。

つまり、情報漏洩を防ぐためには、企業が漏洩に「気づく仕組み」を持たなければならないということです。

 日本のエンドポイント管理市場は情報漏洩対策という点で進んでいるかもしれません。個人情報保護法が施行されてから、国内企業のPCには操作ログを収集する仕組みが普及しました。多くの企業が情報の持出に関する証跡を収集しています。調査によれば3割を超える企業が導入しているといったレポートもありますが、従業員数1000名以上の企業の場合、営業をしている肌感覚からは7割以上の企業が操作ログは取っているのではないかと思います。これほど操作ログを取っているにもかかわらず、なぜ情報漏洩事件は起こるのでしょうか。

 一般的に操作ログの使われ方は、事業部門から特定の人や時期に対するログ抽出の依頼が来て、情報システム部門が該当するログを抽出し、ファイルで提供するというやり方で運用されています。これでは調査対象から漏れた多くのユーザのリスクは精査されず、そしてそれは調査されるログの全体における割合として1％にも満たないというデータもあります。つまり、操作ログを折角取得しているのに、ログの監査ができていないために情報漏洩に気づかない状況になっているのが実態かと思います。

 なぜ、操作ログが活用できないかという問題ですが大きく4つの要因があると考えられます。

①量が膨大で人の目で見れない

PC1台あたり1日のログ容量は2MB～10MB程度と言われています。仮に1台7.5MB/日として、1年間稼働日240日、全体台数2000台とすると、3.6TB/年という膨大な容量のログを監視していかなければなりません。抽出/検索にも時間がかかりますし、全体の監視が可能な条件を考えたとしても、人の目で見切れるものではありません。操作ログはそもそも「データ量」という課題で中身をチェックすることが難しいのです。

②一行のログだけでは行為のリスクがわからない

情報漏洩は複数行為の組み合わせによって実行されます。特定のファイルを開いたというログ情報だけでは、不正であるかどうかはもちろん、疑わしいかどうかもわかりません。データベースへ直前にアクセスして、大量の情報がコピーされ、USBメモリに何らかのデータが書き出されたという事実が同一端末で短期間に実施されたならば、情報が持ち出された可能性を疑うことができます。一行のログだけを確認して不正の有無を検討することは大変困難ですが、通常ログ検索機能では行ごとに出力し、複数ログを関連付けてみる仕組みがないのが現状です。「ログの見え方」がログの分析の大きな障壁になっているということです。

③ユーザの行動を俯瞰的に捉えられない

上記②でも記載しましたが一行のログの羅列では、ユーザの行動を追うことができません。ユーザが日常的に業務に専念しているかといったところから、良からぬ行動の兆候の有無など、ログからどう確認するかという課題について解決できる検索画面やレポートはほとんどなく、ユーザ毎に行動を捉えることが難しくなっています。ログ監視は行動そのものを評価するだけでは、ユーザの行動を俯瞰的に捉え問題に対してプロアクティブに対応することができなければならないのです。

④どんな情報がどう扱われているかがわからない

操作ログの監視で最も課題となる事態は、ファイル操作ログの対象となるファイルがどのような情報かが、ファイル名からしか判別できないという問題があります。

仮に重要な情報にアクセスしていてもファイル名で特定できなければ、ログの監査のしようがありません。操作ログは、ファイル名しか情報を識別することができず、これも不正を見つけるための障壁の一つとなってしまっているのです。

昨今、ＰＣを使わない業務はありません。操作ログは、ユーザの行動履歴そのものです。内部不正を防止するために操作ログをどう活用していくか、次回解説します！