情報漏えい対策製品の選び方
わが社に必要な情報漏えい対策製品は何だ?
渡部章株式会社アークン
代表取締役社長
2005/7/12
対策ツール選択の注意点 |
情報漏えいを包括的に管理できるツールとして、さまざまな情報漏えい対策ツールがある。ツール選択の注意点には、「ポリシー管理」「ファイル管理」「ユーザー操作」「管理者の管理」の4点がある。
ポリシー管理 |
策定した情報セキュリティポリシーは、人的管理面はもちろんであるが、ファイアウォールの設定など技術的にも反映されなければならない。ところが、機密文書や個人情報などの扱いについては、多くの企業でポリシーが反映できていないのが現状である。そこで、データの取り扱いについてもポリシーに従った運営が可能である製品が必要となる。
文書についてのポリシーは「機密情報管理方針」と呼ばれ、ウィザードにより作成を支援できるツールもある。例えば、「極秘、部外秘とは何か」「具体的な文書例は何か」などのルールを既存の文書管理規定や社内規定に合わせてポリシーを作成できる。
図1 ウィザード形式で機密情報管理方針を作成 |
情報漏えい対策ツールでは、策定された機密情報管理方針に従い、所属組織・職位・業務別にファイルの極秘・部外秘などの機密区分が設定できると好ましい。管理者は、機密区分を管理するためにサーバプログラムに権限を設定したり、そのサーバプログラムに一般のユーザーがアクセスできないようにアクセス制御などのセキュリティを考慮しなければならない。
図2 組織と職位による権限設定 |
また、これらのツールがISMSやプライバシーマークなどの情報セキュリティ認証基準や情報資産評価に対応した管理が可能であれば、ユーザーのログを監査資料として利用できるので好都合である。
ファイル管理 |
情報漏えい対策は、機密情報や個人情報などのデータファイルをいかに管理するかということに尽きる。多くの情報漏えい対策ツールがファイルを管理するために暗号化技術を利用している。
暗号化したファイルの管理方法はツールによって異なる。ローカルドライブ、ネットワーク上など場所を問わずに暗号化が可能なツールや、PC上の特定の領域内でのみ暗号化できるツールなどがある。
どのようなファイルを暗号化の対象にできるかもツールによって異なる。Windowsファイルであれば、フォーマットにかかわらずすべてのファイルが対象になるツールや、MS-Officeで利用可能なデータフォーマットやPDF、一部のCADファイルだけを対象としているツールもある。
ファイルに対してどのようなアクセス権限を設定できるかもツール選択の鍵である。ファイル、フォルダ、ドライブ自体へのアクセスを制限する簡単なものから、閲覧、編集(修正)、削除、利用期間などの操作をユーザー単位、グループ単位、PC単位に制限できる高機能なものまである。
また、このようなユーザーの操作をログとして記録することは必須機能である。しかし、すべての操作を記録することはログが大きくなりすぎるため、ログの保存期間やログのサイズ制限が柔軟に設定できるものを選びたい。また、ログのバックアップが容易にできるツールが好ましい。
ファイル、フォルダ、ドライブに何らかのアクセス権があるユーザーが故意に、または偶発的にデータを外部に持ち出すことを制限するニーズが高まっている。ファイル、フォルダ、ドライブ単位に全ユーザーに対して同一の持ち出し制限をする簡単なものから、複製、移動、印刷などの操作をユーザー単位、グループ単位、PC単位に制限できる高機能なものまである。また、データ単位では管理せずに、FD、CD、USBなどのリムーバルメディアへの書き込みや、メール添付を制御することで持ち出せないようにするツールもある。
|
ユーザー操作 |
暗号化技術を利用した情報漏えい対策ツールでは、ユーザーが意識する、しないにかかわらず暗号化操作と復号操作の必要が生じる。ツールの利用を意識させるか、させないかについては一長一短あり、意識させなければ利便性が向上する一方、情報漏えいに対するセキュリティ意識は低下する。
ファイルが暗号化されていれば、オペレーションミスやメールの誤送信、PCの盗難・紛失などによって社内外に機密ファイルが流出したとしても、機密区分に対する権限者でないと利用・閲覧できないので情報漏えいを防止できる。また、Winnyなどのファイル共有ソフトやウイルス感染による機密ファイルの漏えいや、外部からのハッキングによるファイルの持ち出しに対しても、常にファイルは暗号化されているので安心である。
ファイルの暗号化には、管理者が権限設定するタイプと暗号化するユーザー自ら権限設定するタイプのツールがある。前者では、暗号化した者がパスワードを設定したりファイルごとに権限者を選択できるが、ファイルを第三者と共有する場合は事前に相手にパスワードを連絡する必要がある。一方、後者では管理者がどの機密レベルまでの暗号化が可能か、またどのレベルまでの復号が可能かを、ユーザー単位でサーバプログラムに権限設定できる。このタイプのツールでは権限をユーザーに与えるため、確実な個人認証が必要となる。
暗号化操作では、ファイル単位・フォルダ単位にそのまま暗号化できるものと、あるフォルダ(暗号化指定フォルダ)へファイルやフォルダを移動させると自動で暗号化して保存できるものがあると前述した。また、PCログイン時にパスワードあるいは個人認証にて自動で復号し、PC操作時は通常にファイルを扱い、ログアウト時に自動で操作したデータをまとめて暗号化するものもある。
機密情報がネットワーク内に散在している場合は、ファイル単位に暗号化できる方が便利である。また、機密情報をファイルサーバなどにある特定フォルダ単位で管理する企業では、後者の暗号化するユーザー自ら権限設定するタイプが適している。
復号操作は、ファイルやフォルダに対して右クリックメニューで復号を選択するものや、ファイルをダブルクリックするだけで自動的に復号しアプリケーションで開ける平文ファイルと同等に扱えるツールもある。後者では、IDやパスワード入力がその都度必要なタイプと、個人認証を事前にしておくことでパスワードなしにファイルを復号できるタイプがある。また、対応ファイルフォーマットが限定されているツールでは、専用のビューアアプリケーションが必要となる。
管理者の管理 |
管理者を管理するためには、採用する情報漏えい対策ツールが管理者を多段的に複数人設定可能かどうか確認したい。大企業においては1人ですべてを管理するのは大変であるし、中小企業においても管理者が不在なときに副管理者がいないと不便だからだ。
また、管理者による不正を防止するために、管理者の設定操作についてログが記録できる機能が欲しい。管理者を複数人設定できる場合には、管理者別にログが記録できるとよい。この管理者操作のログは書き換え不可能であるべきだ。
そして、一般管理者の上に上位管理者が配置でき、上位管理者の合意により一般管理者権限を付与したり強制失効したりできればさらに安全である。この場合の上位管理者とはシステム管理者ではなく、管理者権限の発行と失効だけを行う特権管理者、いい換えれば最高情報責任者(CIO)、または最高セキュリティ責任者(CSO)つまりIT担当役員であることが望ましい。
2/2 |
Index | |
わが社に必要な情報漏えい対策製品は何だ? | |
Page1 情報漏えい対策の原則 情報漏えい対策製品選択の原則 一般的な情報漏えい対策技術 |
|
Page2 対策ツール選択の注意点 ポリシー管理 ファイル管理 ユーザー操作 管理者の管理 |
関連リンク | |
内部不正による情報漏えいを許さない | |
個人情報保護法に備える4つの課題 | |
情報漏えいに備えるセキュリティ投資の目安 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
|
|