TOP比較データ> 個人データへのアクセスの記録を行う上で望まれる事項




個人情報保護法から見るセキュアOSの必要性
個人情報保護法から見るセキュアOSの必要性

第1回:個人情報保護法とセキュリティ対策

著者:ミラクル・リナックス  石井 友貴   2005/2/23
前のページ  1  2  3
個人データへのアクセスの記録を行う上で望まれる事項

   個人情報へのアクセス状況については、随時ログを取得しておくことが必要です。これらのログを監視することで、不正アクセスをいち早く発見し、被害の拡大を防ぐことができます。また、ログを保存しておけば、不幸にも情報漏えいが起こってしまった場合に、遡って追跡調査することが可能です。

   このとき、ログの保存期間についてもしっかりと検討しておくべきです。過去の情報漏えい事件では、ログの保存期間が1週間などと短い期間だったため、漏えいが発生したと思われる期間のログを調査できなかったというケースがあります。事業者として、情報漏えいを起こさないようにすることが第一ですが、万が一の場合に備え、事故への説明責任を果たせるようにしておくこともリスク管理のひとつとして重要です。

   また、ログを取る際には、アクセス失敗のログだけではなく成功ログも取得することが望ましいと言えます。これは、情報漏えいは必ずしも外部の人間によってのみ引き起こされるのではなく、内部の正規ユーザによって起こされる可能性があるからです。

   さらに、取得したアクセス・ログによっては、それ自体に個人情報が含まれている場合もあるため、ログの保存方法にも注意が必要です。


個人データを取り扱う情報システムについて不正ソフトウェア対策を実施する上で望まれる事項

   個人情報を持つシステムには、アンチウィルスやIDPS(Intrusion Detection/Prevention System:侵入検知/防御システム)などの不正対策ソフトウェアを導入し、定期的にパターン・ファイルなどを更新する必要があります。さらに、OSやアプリケーションなどの脆弱性を修正するセキュリティパッチを適宜適用できるようにする必要もあります。

   ただし、あるアプリケーションの脆弱性が発見されてからセキュリティパッチが公開されるまでの間にタイムラグがある場合など、一時的にセキュリティ強度が低い状態でシステムを運用せざるを得ない可能性があります。また、セキュリティパッチは迅速に適用することが望まれますが、パッチがベンダーから提供されない場合や、あるいはパッチの適用によって他のサービスへの影響がある場合など、迅速な適用が難しい場合もあります。このような場合は、脆弱性に対する攻撃を別の方法で防止する仕組みが必要となります。


個人データの移送(運搬、郵送、宅配便等)・送信時の対策の上で望まれる事項

   個人情報をネットワークで転送する場合には、盗聴される危険性があるため、データを暗号化するなどの対策が必要になります。同様に、個人情報を含むファイルをノートPCやCD-Rなどに保存して外部に持ち出す必要がある場合には、紛失や盗難に備えて、第三者が読み取れないような対策を講じる必要があります。


個人データを取り扱う情報システムの動作確認時の対策の上で望まれる事項

   システムの開発を行う際、動作確認などでテストデータが必要になる場合がありますが、テストデータとして個人情報を使用しないようにします。特に大規模なシステム開発の場合、多数の開発者がシステムにアクセスする可能性があるため、情報漏えいが発生した場合の調査が困難となります。


個人データを取り扱う情報システムの監視を行う上で望まれる事項

   個人情報自体へのアクセスを監視するだけでなく、システムへのアクセスについても監視を行うべきです。この際、外部からの侵入をIDSなどで監視するだけでなく、内部ネットワークからのアクセスについても同様に監視を行う必要があります。


セキュリティ対策における従来技術の問題点と
セキュアOSの効果

   8つの技術的安全管理措置について、大部分は既存の技術を使用して対策を施すことが可能です。ただし、少し細かく分析をしてみると、いくつかの点で難しい問題が解決されていないことがわかります。


従来技術の問題点

   「2. 個人データへのアクセス制御」では、データへのアクセス権限の設定は可能な限り最小限にとどめることが推奨されています。例えば、あるユーザ・アカウントがあるオブジェクトにアクセスするという場合、最小限の数のユーザだけが、必要なオブジェクトだけにアクセスできるように、過不足なく権限を付与することが必要です。具体的には、アクセス権限を持つユーザ数の制限、アクセス可能なデータ範囲の制限、アクセス時間の制限などを行うことが必要です。

   ただし、ここで問題になるのが特権ユーザの問題です。特権ユーザとは、いわゆるシステム管理者が使用するアカウントのことで、LinuxやUNIXでのroot、WindowsでいうところのAdministratorに該当します。これらのアカウントは、基本的にシステムのすべての操作を行えると同時に、すべての情報を参照可能です。このため、何らかの方法でこれらのアカウントの権限が奪取されてしまうと、サーバが丸裸の状態になってしまいます。

   実際に外部からの攻撃を考えると、HTTPサーバ製品に脆弱性があるような場合、バッファオーバーフロー攻撃などによってシステムアカウントの権限が奪取されます。これは、ファイアウォールやIDS/IPS(侵入検知/防御システム)を配置しておけば大丈夫というものではなく、ソフトウェアには脆弱性があるという前提から考えると、絶対的に防ぐ手段はありません。

   また、攻撃は外部からのものだけとは限りません。社内ネットワークからの不正侵入についても考慮が必要です。一説には、情報漏えい事件の犯行は、8割程度が社内での内部犯行であると言われています。最近では、従業員の退職や配置転換などによる入れ替わりや、システム管理を社外にアウトソーシングするケースなども多くなっており、システム管理者を絶対的なものとして信頼するのはリスクがあると言えます。

   このようなことから、特権ユーザの強力すぎる権限は必要最小限にとどめておきたいところです。特に、データやファイルへのアクセスについては、システム管理に必要のないものは許可しないようにするのが望ましいでしょう。

   また、「8. 個人データを取り扱う情報システムの監視」に関しては、管理者が監視の仕組みを把握していれば、自身の監視をバイパスするというケースが考えられます。その上、仮に管理者の操作ログが記録されたとしても、管理者自身でログを消去するなどの証拠隠滅が行われる恐れがあります。

   このように、特権ユーザの権限についてもシステムで必要な範囲にとどめると同時に、特権ユーザでも迂回できないよう、強制的にアクセス制御をすべてのユーザに対して同等に行えるような仕組みが必要になります。


セキュアOS

   以上のような、従来のOS単体では難しいアクセス制御の仕組みを実現するのが、
セキュアOSと呼ばれる技術です。セキュアOSでは、きめ細かい厳密なアクセス制御を行うことができ、より強固なシステム・セキュリティを実現することが可能となります。次回から、セキュアOSについて詳しく解説を行います。

前のページ  1  2  3



著者プロフィール
ミラクル・リナックス株式会社  石井 友貴
外資系ソフトウェアベンダーにてデータベースやセキュリティ関連の研修カリキュラム開発などを担当した後、2004年よりミラクル・リナックス社に在籍。MIRACLE HiZARDをはじめとするセキュリティ製品のプロダクト・マネジメントを担当。日本でのセキュアOSの普及を目指し日々奮闘中。Linuxコンソーシアム セキュリティ部会メンバー。


INDEX
第1回:個人情報保護法とセキュリティ対策
  企業から見た個人情報保護法の意味
  技術的安全管理措置の確認
個人データへのアクセスの記録を行う上で望まれる事項