TOP
>
情報セキュリティ
> システム管理者権限から独立したファイル管理を実現
VPDisk Proによる情報漏洩対策
第2回:マンションで考える情報管理
著者:
MONET 前野 泰章
2007/5/28
1
2
3
次のページ
システム管理者権限から独立したファイル管理を実現
「
第1回:情報とインフラの独立管理で実現する情報漏洩対策
」では、VPDisk Proのような製品が必要とされている背景を解説しました。今回はVPDisk Pro自体に関して説明します。
VPDisk Proには2つの大きな機能があります。1つは「ファイル暗号化」の機能、そしてもう1つは「ファイルの上書・削除の禁止」機能です。
ファイル暗号化機能とは
VPDisk Proの1つ目の重要な機能である「ファイル暗号化」の機能は、Linux/UNIXのファイルシステムを対象としています。
一般的に「ファイル暗号化製品」と呼ばれるカテゴリの製品は、クライアント向けのファイル暗号化製品を思い浮かべる方が多いと思います。しかしVPDisk Proは、システム管理者が管理しているサーバやそのデータベース上に存在するデータを守るためのものなのです。
では、クライアント向けの暗号製品とVPDiskでは何が違うのでしょうか。
クライアント向け暗号化製品の考え方
クライアントPCの場合は、基本的に1人のユーザのみが操作を行うという前提で管理されています。このため「操作を許可されたユーザとそれ以外をどのように区分するか」という観点でセキュリティの構築を行っています。これは「PCを紛失したとしても情報が漏洩しないようにするための暗号化」となります。
企業内での情報漏洩という点では、クライアントPCから接続したサーバ上に保存されているデータに対して、どのようにアクセスするかということが重要になります。つまり、クライアントPCのアクセス権を厳重に管理することが、大事なポイントの1つとなります。
しかし、情報漏洩を考える上では、クライアントからのアクセスだけを警戒していては不十分なのです。
3つのレイヤで考える、サーバのアクセス管理
前述の通り、クライアントPCへのアクセスを管理するためには、許可されたユーザとそれ以外という2種類の区分で事足ります。しかし、重要なデータを保管してあるサーバやその延長上にあるハードウェアにアクセスすることを考えた場合、大きく分けて3つのレイヤ構成で考える必要があります。
クライアントPC
通常のサーバ
本来あるべきサーバ
一般ユーザ
その他
一般ユーザ
システム管理者
一般ユーザ
システム管理者
情報の管理者
表1:サーバアクセスに対する3つのレイヤ
そもそもOS自体には「一般ユーザ」と「システム管理者」の権限を区分する機能があります。また一般ユーザに関しては一括りにせず、個々のユーザに対してアクセス権を管理することで、特定の情報へのアクセスを簡単に区分できます。
この程度の管理はどの企業でも当然のように行われているはずです。例えば、部署ごとにフォルダやディレクトリが用意されていて、他部署のデータにはアクセスできないように設定されているケースが、この方式に該当します。
「企業内のファイルサーバは1台だけ」という場合にも、フォルダなどに対するアクセス権を設定することで、部署単位の区分を実現しているわけです。
このような運用は企業内のサーバだけではありません。最近は社内にサーバをおかず、外部のホスティングサービスを利用するケースが増えてきています。このようなホスティングサービスでは、1台のハードウェアのアクセス権を顧客ごとに区分することで、安価なサービスを実現しています。一戸建に対する賃貸マンションみたいなものと考えることができるでしょう。
1
2
3
次のページ
著者プロフィール
株式会社MONET 代表取締役社長 前野 泰章
1969年生まれ。米国ペンシルバニア州Thiel大学にて国際政治を専攻。同大学卒業後、商社に勤務。戦闘機を中心とした防衛関連業務に従事。その後、アンチウイルスを中心としたセキュリティ製品業務に従事。2002年に独立し、株式会社MONETを設立。現在、同社の代表取締役社長。MONETは、海外ベンダーの日本窓口として、セキュリティソフトウェアを中心としてビジネスを展開中。
INDEX
第2回:マンションで考える情報管理
システム管理者権限から独立したファイル管理を実現
役割の異なるシステム管理者と情報管理者
上書・削除の禁止機能
