TOP
>
サーバ構築・運用
> なぜ正規利用者からの情報流出が発生するか
企業ネットワーク防御最前線〜検疫LAN/VPNでセキュリティ向上を目指せ!〜
第4回:企業ネットワークにおけるVPN検疫
著者:
NTTデータ先端技術 大西 壮輝
2007/1/12
前のページ
1
2
3
4
次のページ
なぜ正規利用者からの情報流出が発生するか
先に述べた認証は不正アクセスに対する防御策であり、正規利用者が利用するパソコンの状態を確認するにはあまり効果がない。このため、会社のメールを自宅PCからVPN経由で取得した際のキャッシュ情報をはじめ、社外秘のファイルや業務上のデータなどが正規利用者から情報流出してしまった。
これは次のような問題が重なった結果である。
正規利用者の利用するマシンに制約がない問題
正規アクセス許可マシンのOSに対する修正プログラムの未適用問題
正規アクセス許可マシン上の対策ソフトを正常に稼働させていない問題
正規アクセス許可マシン上に搭載されるアプリケーションに制約がない問題
正規アクセス許可マシン上の搭載ソフトをチェックできない問題
表2:正規利用者からの情報流出の問題点
ここではWinny問題を例にあげたが、Winnyを利用している/していないに関わらず、VPNを経由して取得したデータの流出は起こり得る。このため、不正アクセス対策もさることながら、正規アクセスや利用される端末について、より一層の動的なチェック機構が必要な点は明確である。
これらの対策としてベストプラクティスにあげられるのがVPN検疫なのだ。
図2:VPN環境の変化
VPN検疫と日本版SOX法の関連
個人情報保護だけでなく、今後施行される日本版SOX法ではより情報セキュリティ管理体制の強化をはかる必要がある。そこでは、単に接続する時代から高度なアクセスセキュリティ機構の構築とログ管理が重要になってくる。ここではアクセスセキュリティ機能について解説し、ログ管理については次回紹介する。
例えば、役職者が社外からVPN環境を使ってある情報を審査し、承認するシナリオを考えてみよう。このような行為に関して日本版SOX法の順守という観点から説明すれば、段階ごとの流れとそこで必要な対処は次のようになる。
正規のユーザと証明されたある役職者が(不正アクセス防止)
許可された端末を使って(VPN検疫による検査)
いつ(事象の発生記録)
どこから(事象の発生記録)
ある情報を(操作記録)
審査し承認する(IT統制がはかられた対象システムの操作およびログ)
表3:VPN環境での作業の流れと必要な対処
これらの一連の作業をリスクの最小化がはかられたIT環境の上で、最小限の操作によってミスなく作業でき、結果がすべてトレースできなければならない。
しかしながら、日本版SOX法を順守するためにVPN環境のセキュリティを高めるのではなく、あくまでもビジネスの展開を重視した上でVPN環境を構築し、それにともなうリスクを審査吟味して対応していくことが必要だ。
その上で、これまでの接続性を重視したVPN環境ではなく、正規利用者についても情報漏洩の可能性を考慮したVPN検疫基盤およびログ管理環境を整備することが重要となる。
前のページ
1
2
3
4
次のページ
著者プロフィール
NTTデータ先端技術株式会社
EA事業本部 NOSiDEビジネスユニット 大西 壮輝
京都大学大学院情報学修了後、NTTデータに入社。基盤開発フレームワーク作成を経験。現在ではNTTデータ先端技術に出向し、パッケージ(NOSiDE Inventory SubSystem)のプロダクトマネージャーとして従事。特にセキュリティのコンサルティングやIT資産管理、LAN検疫/VPN検疫などに注力。チーフコンサルタント。
INDEX
第4回:企業ネットワークにおけるVPN検疫
企業ネットワークのVPN検疫
なぜ正規利用者からの情報流出が発生するか
VPN検疫の代表的な手法
VPN検疫導入に関するポイントおよび導入事例
