ITとビジネスの専門家によるコラム。経営、業種・業界、さまざまな切り口で、現場に生きる情報をお届けします。
第38回 なぜ「iPhone X」の情報は漏れていたのか? 改めて考えたい、内部対策の重要性
2017年9月13日(日本時間)、Appleは新型iPhone3機種を発表。その中でも、特に注目されていたのが「iPhone X」。多数の革新的な新機能の搭載が発表されましたが、これら新機能の情報は事前に噂されていたとおりでした。なぜその情報が漏れていたのでしょうか? 秘密主義を貫くAppleで一体何が起きていたのでしょうか?今回は、企業が改めて考えたい“内部からの情報漏えい対策”についてお伝えします。
なぜ「iPhone X」の情報は漏れていたのか? 改めて考えたい、内部対策の重要性
2017年9月13日(日本時間)、Appleは新型iPhoneの「iPhone X(テン)」「iPhone 8」「iPhone 8 Plus」の3機種を同時に発表しました。中でも発表前から特に注目されていたのが、10周年モデルとなる「iPhone X」。ホームボタン廃止やフルスクリーン有機EL、ワイヤレス充電、顔認証「Face ID」など、多数の革新的な新機能の搭載が発表されました。しかし、これらの新機能の情報は、事前に噂されていたとおりでした。では、なぜそれらの情報が漏れていたのでしょうか? 秘密主義を貫くAppleで一体何が起きていたのでしょうか?
今回は、企業が改めて考えたい“内部からの情報漏えい対策”についてお伝えします。
情報流出は社内犯!? 新型iPhoneのサプライズ発表が台なしに……
イベントの発表を待たずに出回った新型iPhoneの情報。その火種となった iOS 11の開発最終バージョン「GM(ゴールデンマスター)」の流出は、過失ではなくAppleの従業員による意図的なリークであったと言われています。Appleの秘密主義は徹底したものがあり、今回のような新製品の大規模な事前リークは、これまでほとんどありませんでした。しかし、今回イベントを前に多くの未公開情報が漏えいしたことで、サプライズ発表が台なしになってしまいました。
ただ、そもそも数百・数千万台もの製品を秘密裏に製造することは難しく、また関わるパートナー企業も多いため、情報漏えいを完全に防ぐことは不可能でしょう。しかし、それはハードウェアや部品に限っての話であり、ソフトウェアはApple社内にあるため、厳重に管理されているはずです。もし社内か内部関係者しか知り得ないソフトウェアのリークがあったとすれば、「内部犯行」以外には考えにくいことでしょう。
未対策の企業は早期検討を! 内部からの情報漏えいを防ぐ、3つの基本的な対策
日本ネットワークセキュリティ協会が毎年発表している「情報セキュリティインシデントに関する調査報告書」の2016年度版によれば、情報漏えいの原因は「管理ミス(34.0%)」「誤操作(15.6%)」「紛失・置忘れ(13.0%)」などの内部要因が7割以上を占めました。
出典:NPO日本ネットワークセキュリティ協会
2016年 情報セキュリティインシデントに関する調査報告書 ~個人情報漏えい編~
このような内部からの情報漏えいによる金銭的・信頼性の被害を防ぐために、企業がすべき対策にはどのようなものがあるのでしょうか。ここでは、基本的な3つの対策をご紹介します。
第一に「従業員への教育」です。システム担当者だけではなく、全従業員に対して自分の行動が及ぼす潜在的影響や、情報漏えいに繋がるうっかりミスを防ぐ「方法」を周知するなどの適切な教育を行う必要があります。
次に「情報を安全に保護する」です。データの暗号化やアクセスの制御などの対策が的確にされていなかったために、「故意」「うっかり」を問わず、“機密情報へアクセスできてしまった”“ファイルをコピーできてしまった”ことに繋がります。こうしたことが起こらないようなシステムなどの導入が必要です。
そして最後に「データと行動の監視」です。具体的には、従業員個々のPC操作に“目を光らせる”ということになります。的確に監視する仕組みを作ることによって、リスクのある行動の認識と特定が可能になります。また、ログの取得・監視を行うことにより、抑止効果も期待できます。
次回は11月上旬の更新予定です。