連載
» 2010年12月27日 10時00分 公開

機密情報の漏えいがあぶり出した転換点セキュリティ、そろそろ本音で語らないか(18)(3/3 ページ)

[三輪信雄(S&Jコンサルティング株式会社),@IT]
前のページへ 1|2|3       

ユーザーの声から生まれた統合ログ管理システム

 実は、統合ログ管理システムはこのような情報管理を実現するのに非常に有用なのですが、それはあくまで「使いこなしたら」です。

 そもそも統合ログ管理システムは、ユーザーのニーズから生まれたものでした。欧米では、企業それぞれに腕の立つセキュリティ技術者がおり、そうした技術者が「大量のログの取り扱いが大変になってきたので、統合的に管理できるシステムが必要だ」という声を上げた結果、統合ログ管理システムが生まれたという背景があります。

 それに比べて日本では、「ログを取る」ことのみを目的に、統合ログシステムの導入が進みました。取ってさえいればよかったため、そもそも技術者はログの処理に困っていなかったのです。最近では、統合ログシステムを販売したSIerに「いまあるログを何かに使えないだろうか?」という問い合わせがあるくらい、使われていなかったという状況です。

 さて、統合ログ管理システムをはじめ、セキュリティシステムの多くは「自分で使いこなす」ことを前提にしています。出荷時点でのテンプレートやデフォルトの設定は、自力でカスタマイズすることが当たり前なのです。

 ところが、日本の多くの企業には、これらのセキュリティ機器を使いこなせるセキュリティ技術者がほとんどいません。日本では「導入時に設定してそのまま」という使い方が多く、ユーザー自身で機器を使いこなそうという意識が低いのです。SIerが提案してきたものをそのまま購入していることにも要因があります。従って、これらの使いこなしを前提とするセキュリティ機器を扱うセキュリティ技術者のニーズも少ないのです。

 内部関係者による機密情報の漏えいを防ぐには、セキュリティ機器を使いこなせるだけの技術と熱意を持ったセキュリティ技術者が欠かせません。形だけのセキュリティや責任転嫁型のセキュリティ対策から脱却すべきときがきたのです。

自宅PCの管理も視野に

 一方で、巧妙なフィッシングメールによるマルウェアの感染のリスクも日々高まっています。知っているヒトからいつもの口調でメールが届き、添付ファイルを開くとマルウェアに感染し、そこから情報が流出するということも十分考えられます。

 その上、業務委託先からの情報漏えいなどにも目を配らなければなりません。全部に一度に手を付けることもできませんし、どれをやっても完全はありません。

 情報管理を行う上でもう1つ考慮しなければならないことがあります。自宅PCの問題です。

 現在では、多くの企業がUSBメモリを介して自宅PCにデータをコピーすることを禁止していますが、少し前まではそれが自由に行えた会社は少なくありません。あるいは、プライベートのメールアドレスに業務用メールを転送して、熱心に家で仕事をすることも珍しくはなかったはずです。いまではそうしたフローを禁止しているかもしれませんが、その当時使われていた自宅PCには、まだ多くの残留業務ファイルが残されています。

 実際に当社である大手企業の社員の自宅PCを検査したところ、実に18%の社員の自宅から業務ファイルが出てきたのです。また、P2Pソフトは8%の自宅PCから検出され、依頼企業の予想を大きく上回りました。

 この結果は、自宅PCがウイルスに感染した結果、自宅から情報漏えいしてしまう可能性、そしてその情報が悪用されてしまう可能性が少なくないことを示しています。

 また内部関係者による情報漏えいに関しては、金銭目的の情報持ち出し、転売にも気を配らなければいけません。金銭目的のターゲットとしては、個人情報やクレジットカード情報が真っ先に思い浮かびますが、現実には昔からある企業のスキャンダル情報なども対象になります。機密情報扱いされていない情報も、組織にとってはダメージを被ることがあります。これらはあまり一般にいわれることはありませんが、恐喝目的の情報漏えいもあることは知っておいた方がいいでしょう。

「情報漏えいはある」を前提にした真剣な対策を

 ここで必要なのは、短期と中期のセキュリティ計画です。「いますぐにやらなければいけないこと」「少し時間をおいてもいいが確実にやらなければならないこと」などを整理し、かつ、限られた経営資源を有効に使いこなせるバランス感覚をもって、対策を継続的に推進できるセキュリティ管理者が必要なのです。

 組織内部の情報管理を徹底するには、外部記憶媒体の利用禁止やネットワークの利用禁止ルールを定めるという、「守られているはずだ」という思い込みに立った対策だけでは不十分です。具体的には、

  • 予兆や不審な行動をいかに早く見つけるか
  • 特定の社員を監視対象とした内部調査も含めた日々の調査をどう行うか
  • 情報漏えいが起こったことにいかに早く「自分で気付く」か
  • 情報漏えいが起こったときに、短時間で漏えい経路を正確に突き止めるか

などの対策について、真剣に取り組むときがきたといえるでしょう。

 これは、「情報漏えいはあってはならない」「情報漏えいはないようにしなければならない」という考え方から、「情報漏えいはあるものだ」という考え方に切り替えるということを意味します。こうした考え方に基づき、防止、監視、抑止のバランスとチューニングのできるセキュリティ管理者を必要とする組織が増えて、それによって優れたセキュリティ管理者とセキュリティ技術者が増えることを願います。

Index

機密情報の漏えいがあぶり出した転換点

Page1
急速に浮上した「機密情報」の漏えい
情報共有の加速が漏えいも加速
ソーシャルメディアの登場と個人主義の台頭

Page2
いよいよ「性悪説」を前提とした対策の時代に
取っているのに見ていないログ

Page3
ユーザーの声から生まれた統合ログ管理システム
自宅PCの管理も視野に
「情報漏えいはある」を前提にした真剣な対策を


インデックス

「セキュリティ、そろそろ本音で語らないか」連載目次

三輪 信雄(みわ のぶお)

S&Jコンサルティング株式会社
代表取締役
チーフコンサルタント

1995年より日本で情報セキュリティビジネスの先駆けとして事業を開始し、技術者コミュニティを組織し業界をリードした。また、日本のMicrosoft製品に初めてセキュリティパッチを発行させた脆弱性発見者としても知られている。

そのほか多くの製品の脆弱性を発見してきた。また、無線LANの脆弱性として霞が関や兜町を調査し報告書を公開した。Webアプリケーションの脆弱性について問題を発見・公開し現在のWebアプリケーションセキュリティ市場を開拓した。

また、セキュリティポリシーという言葉が一般的でなかったころからコンサルティング事業を開始して、さらに脆弱性検査、セキュリティ監視など日本で情報セキュリティ事業の先駆けとなった。

上場企業トップ経験者としての視点で情報セキュリティを論じることができる。教科書通りのマネジメント重視の対策に異論をもち、グローバルスタンダードになるべき実践的なセキュリティシステムの構築に意欲的に取り組んでいる。また、ALSOKで情報セキュリティ事業の立ち上げ支援を行った経験から、物理とITセキュリティの融合を論じることができる。


前のページへ 1|2|3       

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。