第4話 機密情報３つのレベル

レベルに合わせたセキュリティ対策を

セキュリティ対策を行う時に盲点になるのは「どういう情報を守るか」である。
企業の情報には、漏洩したら本当に企業の存続を左右するような重要な情報から、漏洩しても正直大きな影響はないだろうという情報まである。
「それぞれの情報はどこまで費用と工数をかけて守るべきなのか」という観点は、企業のセキュリティ対策に重要である。

企業が業務上扱う情報は次の３つのレベルに分類される。それぞれの対策レベルについて解説する。

レベル１：漏洩が深刻な影響となる「企業秘」

特定秘密保護法該当情報や未発表の研究資料、企業合併などの特別プロジェクト。買収されたり転職予定の内部社員が意図的に盗取する価値のある機密。

この企業秘は漏洩すると企業に大きな被害を与えるため、費用をかけて厳しい運用を適用して情報を守る必要がある。
対策の安全率は９９以上とし、かつ個別にFTAを実施し、社内の業務運用で発生し得る漏洩パターンを洗い出すことが望ましい。既知の情報漏洩事故だけでなく、発生し得るパターンを出来るだけ洗い出し、対策を講じることが必要だからだ。

アクセス権限管理、アクセス端末管理、端末保存禁止、メール添付禁止などの制限などが考えられる。

レベル２：漏洩が損害賠償訴訟となる「契約秘」

顧客個人情報、取引先とのNDA項目など漏洩発生時に対外的に損害賠償が発生する情報が該当。

このレベルは特に、故意ではなく誤って情報が漏洩してしまうケースの対策が必要である。そして漏洩した情報は悪用されたかどうかに関わらず、漏洩したことが責任問題として問われることが多い。

対策の安全率は９５以上が望ましい。運用ルールなど人的な対策では不十分。少なくとも既知の漏洩事故に対しては、システム的な対応を実施していることが望ましい。

端末データ保存禁止、メール誤送信対策などが考えられる。

レベル３：上記以外の「社外秘」

上記レベル１、２には該当しない社内メールや企画書、調査報告書など。
漏洩することで、企業に重大な影響を与えたり、第三者に損害賠償を求められることはない。しかし社外に漏洩することは望ましくない業務情報である。

対策の安全率は９０以上が望ましい。

まとめ
・企業秘：安全率９９以上かつFTAの実施が望ましい。
・契約秘：安全率９５以上が望ましい。
・社外秘：安全率９０以上が望ましい。

【2021年版】ゼロトラストFTAガイドブック（無料）はこちらからダウンロード出来ます。本ガイドブックが、一社でも多くの企業のセキュリティ対策に役立つことを願います。