警察署における機密情報の扱い

公的機関である警察では、一般企業よりも機密情報の取り扱いには十分な注意がされています。警察庁では、独自のネットワークシステムとして、警察庁WANシステムが採用されています。一般企業で用いられているものよりも広範囲で機密情報が取り扱えるシステムでありながら、限られた人物のみがアクセス可能です。このページでは、警察で取り扱われる機密情報がどのように扱われているのか、解説していきます。

機密情報の取り扱いは、一般企業にとって重要な項目です。しかし、それ以上に、警察のような公的機関では、機密情報を慎重に取り扱う必要があります。

今回は警察における機密情報の取扱いをとおして、企業に最適な機密情報取扱方法を紹介します。

警察庁は独自のネットワークを保有することでサイバー対策を行っている

警察庁のサイバー対策として挙げられるのが、独自のネットワークシステム「警察庁WANシステム」の導入です。

WANとは「Wide Area Network」の頭文字をとったもので、地理的に離れた拠点をつなげるネットワークシステムを意味します。

WANシステムは一般企業においても導入されていますが、警察庁WANシステムは一般企業とは異なり、全国につながる広域網でありながら限られたユーザーしかアクセスできない閉鎖的なシステムです。

システム以外にインシデント分析する組織も設置された

独自のWANシステムに加えて、平成24年から警察庁ならびに全都道府県警察にCSIRT（Computer Security Incident Response Team）を設置しています。

CSIRTは、WANシステムにおいて、不正プログラムをはじめとした情報セキュリティインシデントが発生した際に、スピーディな分析と被害拡大防止策を講じていきます。また、防止策が効果を発揮しているかの検証を目的として、都道府県警察を対象に監査を行っています。

過去には警察から機密情報が漏えいしたことも

警察庁WANシステムの導入やCSIRT設置といったセキュリティ対策を講じている警察ですが、過去には機密情報が漏えいしたこともあります。

警察からの情報漏えいの場合、警察職員が金銭の見返りに情報提供するケースがありますが、「警視庁国際テロ捜査情報流出事件」のようにインターネットから内部資料が流出するケースもありました。

国際テロに関する情報がインターネット上に流出

「警視庁国際テロ捜査情報流出事件」は、国際テロに関する資料がインターネット上に流出した事件です。2010年10月29日に、警察庁公安部のものとされる情報が漏洩しました。情報のなかには個人情報に関するものもあり、訴訟にまで発展。最高裁は東京都に約9千万円の賠償を命じました。

この流出事件が発生してしまった原因は、警察職員が外部記録媒体に保存した資料を持ち出し、ファイル共有ソフト「Winny」を使用したことです。このソフトを介して機密情報が漏えいしてしまいました。

このように、組織内でルールを明文化したとしても、悪意の有無に関わらず外部記録媒体などを使って組織外に機密情報が持ち出される可能性があります。

機密情報の管理にはネットワーク分離が大前提

機密情報を管理する際は、ネットワーク分離が行われていることが大前提です。ネットワークと接続されている限り、外部からの悪意ある攻撃がゼロになることはありません。

警察のように独自のシステムである警察庁WANシステムとネットワークが完全に分離していることが、機密情報漏えい防止には欠かせないのです。

ネットワーク分離は社内の抜け道を無くす工夫が必要

ネットワーク分離を行うことでセキュリティが強化される一方、利用する側の生産性低下が懸念されます。通常であれば外部とのやり取りにおいて、メールにファイルを添付するといった方法で情報をスムーズに交換できていたのに、ネットワークが分離していると、外部との情報共有がままならず作業時間の大幅な増加が見込まれます。

この業務効率低下を避けるために、職員がネットワークに接続された環境に機密情報を持ち出す恐れがあります。このような事態を未然に防ぐために、組織内で対策を講じなければなりません。

たとえば、警視庁では、許可なく外部記録媒体を使用できない措置や、上司から外部記録媒体使用の許可を得た場合でも、個人が所有している媒体の使用を禁止する措置をとっています。[※1]

［※1］情報セキュリティ報告書 府省庁別概要資料 警察庁

データブリッジを導入すればネットワーク分離においてもデータのやり取りが可能

ネットワーク分離におけるデータのやり取りという問題を解決するには、「データブリッジ」の導入がおすすめです。「データブリッジ」を使えば、分離されたネットワークにおいてもデータの受け渡しがスムーズに行なえます。また、送受信された機密情報が自動で消去されるため、情報が不正に持ち出されるという心配もありません。

利用者・ファイル・時間に制限をかけられる

外部記録媒体を使用する場合、組織が用意したUSBのみの利用を徹底する必要があります。ですが、この方法は管理者の業務増加につながってしまいますし、管理が煩雑になることも懸念されます。

一方、「データブリッジ」であれば、データを送る人間はもちろん、時間やファイル名なども管理者が制限できるのです。送信者のみならず受信者にも制限をかけられるため、より強固なセキュリティ環境でデータのやり取りが行えます。

データブリッジを使って情報漏えいを防ぎつつ業務を効率化しよう

機密情報を管理するうえではネットワーク分離が欠かせません。ですが、ネットワーク分離は職員の業務効率低下を招いてしまいます。

しかし、データブリッジを活用すれば、ネットワーク分離をしたセキュアな環境を構築でき、かつ、業務効率を低下させずに情報のやり取りが行えます。