TOP
>
設計・移行・活用
> セキュリティ教育の重要性
1億円の企業ダメージを回避するウイルス対策ソリューション
第7回:ウイルス/スパイウェアによる情報漏洩を阻止するために
著者:
トレンドマイクロ 黒木 直樹
2006/1/24
前のページ
1
2
3
4
セキュリティ教育の重要性
システムに強固なITセキュリティを施しても、最終的にオペレーションを行う人間の行動やモラルにより企業のセキュリティレベルは上下する。特に最近の傾向として、人をだまして機密情報を搾取するソーシャルエンジニアリングが加速している状況では、システムと同様に、システムを利用する社員のセキュリティ能力も強化したい。
しかし企業のITセキュリティ教育は一朝一夕で構築されるものではない。セキュリティポリシーを策定し、施行した時からその教育ははじまるので、定期的かつ繰り返してセキュリティ教育を行う必要がある。また新卒/中途採用に関わらず、入社時に一連のセキュリティ教育を行うといったことも重要である。
「セキュリティ教育」というと、学校での授業形式のように単に一方通行で行うものが一般的であるが、それを補助するためのツールも存在する。既述したように電子メールにはウイルス/ワームやスパイウェアが添付されているものもある。
Webサイトへのアクセス禁止機能によって、URLフィルタリングソフトウェアを使用し、疑わしきWebサイトや業務上関係のないWebサイトにシステム的に行けないようにすることが可能である。またWebサイトへのアクセスのログを取り、そのログ取得を行っていることを公表することで不要なアクセスの抑止効果となる。
しかし電子メールに関しては少々勝手が違う。送信メールについては、既述の「コンテンツフィルタリング 1−1」で説明した方法が適用できるが、受信メールにおいては、受信者すなわち個々の社員任せである。
しかるべきウイルス/スパイウェア対策を行っている場合、受信者に届くメールのほとんどはウイルス/スパイウェアのないメールであろうが、新種や亜種の中には現在使用しているウイルスパターンファイル(ウイルスのデータベース)で発見できないものもある。その場合、受信者の手元に届いたメールを開くか削除するかは、受信者つまり社員の判断に委ねられる。
ツールを利用した意識分析
メールを受信した社員がどれくらいセキュリティレベル(セキュリティに対する意識)を持っているか、その社員がセキュリティレベルが問われる場面に対する判断を検証するためのツールがある。そのツールには社員の誰かの名前で疑似ウイルス付きの電子メールを用意し、送付先の社員には内緒で送信する機能が備わっている。
メールの送信後、検証ツールは分析機能を利用して社員が添付ファイルを開封したか否かを集計し、部門/職制ごとなどの統計を行い、今後の社員に向けたセキュリティ教育に役立たせることができる。
図3:社員のセキュリティレベル検証ツール
(画像をクリックすると別ウィンドウに拡大表示します)
その分析結果から、情報セキュリティポリシーの見直し、対策ソフトウェアやハードウェアなどの設備の見直し、再教育の要点作成などを行うことが可能である。
図4:分析結果による問題点への対策
(画像をクリックすると別ウィンドウに拡大表示します)
今回は最近話題なっている情報漏洩をスパイウェア対策の観点から考察してみた。ウイルス/ワーム対策にしろ、スパイウェア対策にしろ情報セキュリティの観点からは大きく違わない。しかし重要なことは、現在発生している脅威を理解し、企業として守るべきものを見極め、必要で効果的な方法(ソリューション/セキュリティ教育)を施すことなのである。
前のページ
1
2
3
4
著者プロフィール
トレンドマイクロ株式会社 黒木 直樹
トレンドマイクロ株式会社 上級セキュリティエキスパート
1996年トレンドマイクロ株式会社入社。
ウイルス対策ソフト「ServerProtect」をはじめとする法人向け製品のプロダクトマーケティングを経て、製品開発部の部長代行に就任(2000年)。個人・法人向け全製品の開発においてリーダーを務め、同社のビジネスを支える主力製品へと成長させる。アウトソーシングサービス事業の立ち上げた後(2001年)、2002年にコンサルティングSEグループ兼インテグレーショングループ部長に就任。営業支援のシステムエンジニア、テクニカルコンサルタントを率い、情報セキュリティ全般にわたりプロジェクトを推進する。
INDEX
第7回:ウイルス/スパイウェアによる情報漏洩を阻止するために
企業の情報漏洩対策に関する考察
情報漏洩対策としての監視
スパイウェア対策
セキュリティ教育の重要性