 |
|
| 米国事例に学ぶセキュリティ |
第1回:これまでの情報漏洩事件の原因を振り返る
著者:バーダシス 小宮 崇博 2007/5/1
|
|
|
| 前のページ 1 2 3 次のページ
|
|
| なぜ、情報漏洩は止まらないのか
|
では何故情報漏洩は止まらないのだろうか。それは、これまでのITセキュリティでは主にインフラの防御に主眼が置かれていたことがあげられる。このため、情報や知的財産のような不可視の実体の防御は検討されてこなかったのであろう。
実際の情報に対するアクセスを管理するためには、情報そのものを記録したデバイス(もしくはファイルシステム)やネットワーク、情報を編集・加工するアプリケーションの管理やID管理も必要になる。
図1:情報リスク管理の状況 (画像をクリックすると別ウィンドウに拡大図を表示します)
- 重要情報の漏洩防止
- 企業内部で管理する顧客資産、知的財産、個人情報などの外部への漏洩を未然に防止
- 情報持ち出し管理
- 外注への情報提供や顧客での作業など、重要情報を社外に持ち出す際のセキュリティ
- 法規制への対応
- 日本版SOX法、個人情報保護法、金融庁勧告など向けの公式なログ証跡報告への対応
- 情報ポリシー管理
- 外注も含めた全従業員への情報管理ポリシーの教育は最重要
表2:情報管理にある4つの課題
この図を元に、これまで発生していた情報漏洩対策にまつわる様々な管理について、いくつかのカテゴリのセキュリティ実装に分けることができる。
図2:情報漏洩対策にまつわる様々な管理 (画像をクリックすると別ウィンドウに拡大図を表示します)
図2における第1の問題では、情報などのアクセス制限が有効に行えていないケースである。これはファイルサーバにファイルを置く場合、必要なアクセス権を設定していないために誰でも読み書きできてしまう。
では第2の問題ではどうだろうか。ここではファイルやサーバなどへのアクセス権限管理が行われていても、例えばすべての人間が管理者権限でログオンして作業を行うようなケース。これだと誰の操作であるか判断することができない。
そうなると第3の問題が発生する。一度データが個々のクライアントPCに出回ってしまうと、リムーバブルデバイスからの流出や電子メールを使った漏洩は容易に発生してしまう。
これに対して、これまでのセキュリティ対策にはどんなものがあったのであろうか。リストアップすると次のようなものがある。
- ネットワーク防御
- 各種ファイアウォール、IDS/IPS等
- プログラムレベルでの防御
- バッファ長の確認、SQLインジェクション、クロスサイトスクリプティングの防御
- デバイス認証、個人認証、権限確認
- 認証VLAN、ワンタイムパスワード
- Roleベース管理、ファイルアクセス権限管理
- 行動管理
- 入退出管理、コンソール操作履歴管理、ビデオによるモニタリングなど
表3:今までのセキュリティ
|
| 情報漏洩から防御するために必要な考え方
|
上記はあくまで例であるが、ここで注目すべきなのは、これらの仕組みはすべて外部からの攻撃を想定した防御スキームである。ネットワーク防御やプログラムレベルでの防御は、適切に運用されていれば、外部からの不正アクセスの遮断に対して非常に強固な仕組みを実現できる。同じく認証技術に関しても「全社的なディレクトリサービスを構築し、適切に運用されていれば」有効な防御手段もしくは漏洩抑止手段となる。
しかし情報漏洩を止めるためには、上記のようなインフラ防御やプログラムの対応、認証技術だけで充分なのであろうか。実は先ほどの表2に記載したものは、基本的に内部の人間の正規のアクセスを装った情報持ち出しに対して有効に働いてこなかったのである。これは特に日本では性善説でシステムを構築してきたため、権限のあるものによる事件が多発するまで漏洩について検討してこなかったことだともいえるだろう。
では情報漏洩を防ぐには、どういった仕組みが考えられるであろうか。それには下記に述べるような、「情報管理規定の制定と教育」「情報管理技術の導入と運用」の2つがある。
- 情報の分類、運用ポリシー
- 情報の重要度を分類するための指針の決定
- ポリシーの教育
- 情報管理規定の全社的な教育
- 関連会社、パートナー企業に対する同等ポリシーの策定、強制の実施
表4:情報管理規定の制定、教育
- 情報アクセスの制御
- 重要度、Roleによるアクセス制御
- 情報処理の制御
- 情報のコピーや移動の制限
- 情報の暗号化
- 情報有効期限の設定
- 情報アクセス、処理のログ収集、分析
- 情報漏洩につながるような行動を検出し、ユーザもしくは管理者にリスクを通知する仕組み
表5:情報管理技術の導入、運用
上記の「情報の分類」は、「技術」ではなく「運用ポリシー」である。情報漏洩対策を考える上で、実は一番難しくかつ重要なものなのである。ポリシーには「関係者外秘」や「社外秘」というドキュメント分類のポリシーと、どのように「保管」し、「アーカイブ」され、「誰」が「どのように操作」できるかなどが規定されているべきである。
ここには社内の人間はもちろん、関係会社の社員なども含まれていないと効果的とはいえない。例えば前述したカード会社の情報漏洩の事件では、まさに関係会社の社員による持ち出しが問題となっているからである。
|
前のページ 1 2 3 次のページ
|
|
|
|
|
著者プロフィール
Verdasys Inc. 小宮 崇博
外資ITベンダーにおいて一貫してプリセールスに携わる。サーバ、ストレージ、ネットワーク製品などの営業に従事する。また、統合運用管理ソフトウェアなどのソフトウェアの営業、構築にも従事していた。ストレージエリアネットワークなどのコミュニティでは多くの情報をコミュニティに提供している。
|
|
|
|
|
|
