 |
||||||||||||||
|
||||||||||||||
| 前のページ 1 2 3 4 次のページ | ||||||||||||||
|
||||||||||||||
| なぜ正規利用者からの情報流出が発生するか | ||||||||||||||
|
先に述べた認証は不正アクセスに対する防御策であり、正規利用者が利用するパソコンの状態を確認するにはあまり効果がない。このため、会社のメールを自宅PCからVPN経由で取得した際のキャッシュ情報をはじめ、社外秘のファイルや業務上のデータなどが正規利用者から情報流出してしまった。 これは次のような問題が重なった結果である。
表2:正規利用者からの情報流出の問題点 ここではWinny問題を例にあげたが、Winnyを利用している/していないに関わらず、VPNを経由して取得したデータの流出は起こり得る。このため、不正アクセス対策もさることながら、正規アクセスや利用される端末について、より一層の動的なチェック機構が必要な点は明確である。 これらの対策としてベストプラクティスにあげられるのがVPN検疫なのだ。  図2:VPN環境の変化 |
||||||||||||||
| VPN検疫と日本版SOX法の関連 | ||||||||||||||
|
個人情報保護だけでなく、今後施行される日本版SOX法ではより情報セキュリティ管理体制の強化をはかる必要がある。そこでは、単に接続する時代から高度なアクセスセキュリティ機構の構築とログ管理が重要になってくる。ここではアクセスセキュリティ機能について解説し、ログ管理については次回紹介する。 例えば、役職者が社外からVPN環境を使ってある情報を審査し、承認するシナリオを考えてみよう。このような行為に関して日本版SOX法の順守という観点から説明すれば、段階ごとの流れとそこで必要な対処は次のようになる。
表3:VPN環境での作業の流れと必要な対処 これらの一連の作業をリスクの最小化がはかられたIT環境の上で、最小限の操作によってミスなく作業でき、結果がすべてトレースできなければならない。 しかしながら、日本版SOX法を順守するためにVPN環境のセキュリティを高めるのではなく、あくまでもビジネスの展開を重視した上でVPN環境を構築し、それにともなうリスクを審査吟味して対応していくことが必要だ。 その上で、これまでの接続性を重視したVPN環境ではなく、正規利用者についても情報漏洩の可能性を考慮したVPN検疫基盤およびログ管理環境を整備することが重要となる。 |
||||||||||||||
|
前のページ 1 2 3 4 次のページ |
||||||||||||||
|
|
||||||||||||||
|
|
||||||||||||||
|
||||||||||||||
|
|
||||||||||||||
|
||||||||||||||
|
|
||||||||||||||
|
||||||||||||||
-
-
連載
