 |
|
| VPDisk Proによる情報漏洩対策 |
第2回:マンションで考える情報管理
著者:MONET 前野 泰章 2007/5/28
|
|
|
| 前のページ 1 2 3
|
|
| 上書・削除の禁止機能
|
ここまで暗号化の機能に絞って述べてきましたが、VPDisk Proにはもう1つ大きな機能があります。それは「上書・削除の禁止」機能です。
情報漏洩対策とともにセキュリティという観点から留意しなければならないことに、情報の紛失や捏造があります。紛失というのは「落とす」ということだけではなく、データが消えてしまったり、消されてしまうようなケースも該当します。
また、情報の捏造とは、所有者が関知することなくデータが書き換えられてしまったり変更されるようなケースも指しています。せっかく作成されたデータが消されたり、勝手に変更されてしまっては大問題です。
先程述べたようにシステム管理者は、その権限によって情報を何でも消去することができます。これは技術者の間では当たり前のことですが、一般ユーザにはあまり知られていません。
特に企業には、経理や顧客、開発など、消えてしまっては困る重要データがたくさん存在しています。当然ながら、重要なデータはいつでも復旧可能なようにバックアップを取っているでしょう。うっかり消してしまってもバックアップによって元に戻せるかも知れません。
しかし、そのバックアップデータを管理しているのもシステム管理者であることを忘れてはいけません。
「第1回:情報とインフラの独立管理で実現する情報漏洩対策」では、ITに携わる人々の流動性について述べました。これらの人達が既存企業に恨み辛みを持つことなく前向きに転職しているのであればまったく問題はありませんが「100%なんのしこりもない」とはいい切れないでしょう。性善説だけで考えることは、セキュリティを考える上で得策ではありません。
また、一般的に情報が削除されることに不安や問題意識がもたれますが、実は「情報の捏造」の方が遙かに危険度が高い事件となります。
データが消されてしまっている場合には「なくなっている」という事実に気づきやすいのですが、データの一部が変更されているような場合には、それに気付かず、そのままの状態で放置されることが少なくありません。
価格表や契約書などの書類に記載されている数値だけが変更されていた場合、そのままビジネスを展開してしまったら大変な損害が発生する恐れがあります。
これらの「情報の紛失」や「情報の捏造」は、システム管理者が意図して行う犯罪のケースもあれば、コンピュータウイルスによって引き起こされる場合もあり得ます。実際、過去にはウイルス感染によって引き起こされた情報漏洩や情報改竄事件が起きています。
この場合は、システム管理者権限よりも上位で、しかもOSが標準で持っているもの以外の権限を与えることが重要となります。VPDisk Proでは、システム管理者権限のさらに上位にVPDiskによる「情報の管理者権限」を作り出すことで、これらの問題を解決するソリューションを提供しています。
この「情報を消せない」という機能には、もう1つ重要な要素があります。この昨今、内部統制や日本版SOX法が大きな話題となっておりますが、その流れにおいてIT統制は重要な事項であり、ログの取得および保管は大きな案件です。
ログは何か犯罪や情報漏洩事件が発生した際に、解明や事後報告に重要な情報になります。逆にいえばこれらのログ情報は高い信憑性が求められます。しかし、このログ情報もシステム管理者権限によって、削除や改竄する事が不可能ではないのです。
つまり、重要データだけでなく、ログ情報もVPDiskのようなテクノロジーを利用して保護する必要があるのです。
|
| もう一度マンションで考える
|
2005年4月に個人情報保護法が完全施行となりましたが、当時は情報を暗号化して保護することよりも、万が一情報漏洩事件が発生しても犯人を割り出せるように、ログを取ることの方に注力している企業が多かったようです。
しかしここ昨今のWinny騒ぎによって、ログを取っていても情報漏洩事件は起きてしまいますし、事件が起きてしまった後からでは、取り返しがつかないということも明白になりました。セキュリティの観点では、ログの取得はあくまでも抑止力でしかありません。
「ログの取得」と「データの暗号化」はマンションに例えると、監視カメラと鍵に位置するものだと考えると良いでしょう。これは防犯上、両方とも必要な機能なのです。
次回は、より具体的な活用法について取り上げます。
|
前のページ 1 2 3
|
|
|
|
|
著者プロフィール
株式会社MONET 代表取締役社長 前野 泰章
1969年生まれ。米国ペンシルバニア州Thiel大学にて国際政治を専攻。同大学卒業後、商社に勤務。戦闘機を中心とした防衛関連業務に従事。その後、アンチウイルスを中心としたセキュリティ製品業務に従事。2002年に独立し、株式会社MONETを設立。現在、同社の代表取締役社長。MONETは、海外ベンダーの日本窓口として、セキュリティソフトウェアを中心としてビジネスを展開中。
|
|
|
|
|
|
