 |
情報漏えい対策製品の選び方
わが社に必要な情報漏えい対策製品は何だ?
渡部章株式会社アークン
代表取締役社長
2005/7/12
2005年4月に完全施行された「個人情報の保護に関する法律」(個人情報保護法)により、多くの企業がその対応に追われている。しかし、4月以降も漏えい事件が大小問わず頻発しており、個人情報保護法違反として所轄官庁より指導を受ける企業も出てきている。
このような情報漏えい事件・事故の要因はさまざまであるが、多くは内部の管理上・運用上・操作上の要因が絡んでいる。内部からの情報漏えいを防ぐにはどのような対策が最も効果的なのかということが、多くの経営者・リスク管理者・システム管理者の大きな関心事となっている。
人的管理については、個人情報保護法への企業対応として、プライバシーマーク取得やISMS取得といった分野で解説されることが多い。そこで今回は、個人情報漏えいを防止するための技術的施策にフォーカスして解説する。
 |
情報漏えい対策の原則 |
多くの見識者が指摘している情報漏えい対策の原則的な考え方には、「リスクの極小化」「ポリシー管理」「ユーザーの操作監視」の3つのポイントがある。
1つ目のポイントは、リスクをいかに極小化できるかである。リスクの極小化とは、「業務に必要な人にその業務に必要な範囲の情報だけを提供する」ことをいう。ユーザーの操作ミスや権限者の意図的な漏えいを100%防ぐことは困難である。情報にアクセスできる何らかの権限があれば、どんなシステム対策を取っても「覚える」「書き写す」ことを防ぐことはできない。
従ってリスクを極小化するためには、業務に直接関係のない社員、退職した社員、担当を外れた社員への情報の提供をリアルタイムに中断する、または、業務で必要とされる範囲でのみ情報を提供することが重要となる。例えば、特定地域、特定の顧客のサポート担当者であれば、その担当以外の情報へのアクセスは禁止する必要がある。
2つ目のポイントは、リスクの極小化を組織のルール・方針に基づき運用することである。リスクの極小化を組織に適用するには、誰に(どの部署のどのポジションの人に)どの情報を提供・利用させるのかといった明確なルール(ポリシー)が必要となる。ルールを管理者が気まぐれ・思いつきで設定していたのでは、組織内にルールは浸透しない。
最後のポイントは、「内部のユーザーをどう管理するのか」である。権限を正しく与えている以上、その操作を禁止することは困難である。従って、権限者に対して有効な抑止手段は、機密情報へのアクセス、操作を監視する以外に方法はない。
これはPC操作の監視だけでは不十分で、操作した人を特定する必要がある。また、適切な範囲で操作の記録を取れるかどうかも重要である。すべての操作の記録を取っていると、膨大な記録となり解析が事実上不可能となったり、システムやネットワークの負荷も大きくなる。機密性の高いデジタル文書へのアクセス・操作を集中的・効率的に記録する必要がある。
|
情報漏えい対策製品選択の原則 |
個人情報を漏えいしないためにどのような技術を採用するかについては、まず「5W1H」に基づいて個人情報が漏えいする可能性があるかどうかをリスク分析する必要がある。例えば、「When」には営業時間と営業外時間があり、「Where」には社内と社外がある。また、「Who」には社員、契約社員、アルバイト、取引業者、社外の人間などがあり、「How」にはオペレーションミスや故意的なものがある。
また、セキュリティ防止策の基本機能である「抑止」「予防」「検知」「回復」の各段階においてもどのような技術が利用可能かを検討する必要がある。「抑止」とは人間の意識やモラルに訴えて不正行為をけん制することであり、「予防」とは被害を受けにくい状態にすることである。また、「検知」とは被害を最小限に抑えるために不正行為を速やかに発見することであり、「回復」とは被害を正常な状態に復旧することである。
前述の「5W1H」のそれぞれに「抑止」「予防」「検知」「回復」の防止機能があり、次のようなマトリックスを作成すると対策技術やツール選択時のチェックリストとして利用できる。
| 個人情報が漏えいする状況一覧 | 技術的防止機能 | |||
|---|---|---|---|---|
抑止 |
予防 |
検知 |
回復 |
|
| 業務時間に社内のPCから社員が故意に | ||||
| 業務時間に社内のPCから第三者が故意に | ||||
| 業務時間に社内のPCから人的ミスで | ||||
| 業務時間に社内のメディアから社員が故意に | ||||
| 業務時間に社内のメディアから第三者が故意に | ||||
| 業務時間に社内のメディアから人的ミスで | ||||
| 業務時間外に社内のPCから | ||||
| 業務時間外に社内のメディアから | ||||
| 社外でモバイルPCから社員が故意に | ||||
| 社外でモバイルPCから第三者が故意に | ||||
| 社外でモバイルPCから人的ミスで | ||||
| 社員の自宅のPCから社員が故意に | ||||
| 社員の自宅のPCから第三者が故意に | ||||
| 社員の自宅のPCから社員が人的ミスで | ||||
| 取引業者の社内から取引業者の社員が故意に | ||||
| 取引業者の社内から第三者が故意に | ||||
| 取引業者の社内から人的ミスで | ||||
|
一般的な情報漏えい対策技術 |
情報漏えいへの技術的施策にはツールを使わなくてもできることがある。まずPCのセキュリティであるが、BIOS設定で起動時のパスワードロックをかければ、そのPCを簡単に他人が利用することは難しくなる。また、PCを離れたときに他人に利用されないようにするために、スクリーンセーバでのパスワードロックも利用したい。
次に、ユーザーIDについて利用管理を厳しくする必要がある。一般的に個人認証にはネットワークIDとパスワードを用いている。より厳重なセキュリティやパスワード管理を実施するためには、ワンタイムパスワードやメモリカード、指紋認証などバイオメトリックス(生体認証)を利用した個人認証がある。
運用面では、社員1人1人にユーザーIDを発行してゲストユーザーや共有アカウントは利用しないようにしたい。そのうえでユーザーID別にネットワークドライブやフォルダなど重要ファイルへのアクセス制御を実施するのだ。Windowsの場合は、なりすましの危険性のあるワークグループでの運用ではなくてドメイン運用にする。また、ユーザーに自由に共有フォルダを作成させないようにしたい。
ユーザーの操作を監視しログを取ることは、監視カメラ的効果が大きい。ログは可能な限り保存するようにしたい。不正アクセスやデータ漏えいといった事件や事故は、一般的に発生から数日後に発覚することが多いため、ログが残っていなければ事故原因の調査もできない。管理すべきログとしては、PCの利用状況、ファイルサーバにある重要ファイルへのアクセス状況、インターネットのWeb閲覧状況、メールの利用状況などがある。
組織内部においてPCから機密データや個人情報を漏えいさせないためには、外部記憶媒体を利用できなくする方法がある。クライアントPCに全く記憶媒体がないワークステーションとして利用する方法や、FD、MO、CD-R、DVD-Rなど書き込める媒体を接続させない方法も有効である。また、USBメモリを接続してのデータ漏えいに対抗するために、BIOS設定やレジストリの変更でUSBサービスを無効にすることも効果的だ。
1/2 |
|
| Index | |
| わが社に必要な情報漏えい対策製品は何だ? | |
 |
Page1 情報漏えい対策の原則 情報漏えい対策製品選択の原則 一般的な情報漏えい対策技術 |
| Page2 対策ツール選択の注意点 ポリシー管理 ファイル管理 ユーザー操作 管理者の管理 |
|
| 関連リンク | |
| 内部不正による情報漏えいを許さない | |
| 個人情報保護法に備える4つの課題 | |
| 情報漏えいに備えるセキュリティ投資の目安 | |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
