TOP
>
設計・移行・活用
> 企業の情報漏洩対策に関する考察
1億円の企業ダメージを回避するウイルス対策ソリューション
第7回:ウイルス/スパイウェアによる情報漏洩を阻止するために
著者:
トレンドマイクロ 黒木 直樹
2006/1/24
1
2
3
4
次のページ
企業の情報漏洩対策に関する考察
今回は企業の情報漏洩対策について考察する。漏洩が問題になる情報には、大きく分けて「個人情報」と「企業の機密情報」とがある。「個人情報」に関しては企業内で働いている個人のデータと企業が顧客から預かった個人データが含まれる。
2005年4月1日に個人情報保護法が全面的に施行され、違反した場合には法的責任を負うこととなった。また「機密情報」に関しては法的責任はないものの、情報が漏れた場合は企業としては大きなダメージを被る可能性が高い。
2005年を振り返ると多くの情報漏洩に関する事件が発生した。情報の入ったノートPCの電車への置き忘れ、酒場での盗難、従業員や離職後の元社員による意図的な情報の持ち出し、ウイルス/ワーム/スパイウェアなどによって情報が持ち出されたりと、その原因と手法は様々である。
情報漏洩を防ぐためにはいったいどうしたらいいのだろうか。社内でノートPCや小型デスクトップPCが盗難にあうケースの場合、対策として物理的に持ち出しを阻止するチェーンロックや入退出の管理が必要であろう。社外での置き忘れや盗難に対応するには、内部の情報を第三者が閲覧できないようにするためにPC内データの暗号化が必要である。
情報の記録や運搬によく用いられるCD-RやUSBメモリなどの外部記録メディアによるデータの盗難や流出には、そのような装置の無効化(利用の禁止)や、社内のセキュリティポリシー(運用)で規定することで対処する。セキュリティポリシーを策定し、厳密な遵守を社員に喚起することは重要である。しかし、それでもなお社員のモラルの欠如や不注意によってデータが流出する危険性を含んでいることは否定できない。
従って、よりミッションクリティカルなデータを扱う部門には外部記録メディアの無効化を施すことが望ましいであろう。例えばプラットフォームがWindowsの場合、レジストリを変更することでCD-RやUSBメモリなどを使用できなくすることが可能である。
このように、情報漏洩の防止に関しては「人的」「技術的」「物理的」な対策を広範囲にわたって行う必要があり、非常に多くのアプローチが存在する。その中から今回は広義のウイルス対策に限定し、「コンテンツフィルタリング」「スパイウェア対策」「セキュリティ教育」の観点から情報漏洩の防止に関して解説する。
図1:情報漏洩の脅威
コンテンツフィルタリング
情報が社外に流出することに対して、企業とインターネットを結ぶゲートウェイにメールコンテンツフィルタリングソフトを導入することが1つの有効策である。メールコンテンツフィルタリングとは、社外に送信される電子メールの本文および添付ファイルの内容をチェックし、ポリシーに該当する電子メールに対してフィルタリングを行うことである。
故意/不注意に関わらず、電子メールは情報が流出する手法の1つである。大量なデータの送信には向かないものの、個人情報や機密情報はそのほとんどが文字/数字データであるため、電子メールであっても非常に多くのデータを送信することが可能である。
そのため、コンテンツフィルタリングを利用することにより、電子メール内の情報に機密情報や個人情報が含まれていないかを確認し、もし含まれていた場合にはゲートウェイでブロックすることで漏洩対策を講じることができる。
また忘れられがちではあるが、HTTPプロトコルを利用したWebメールに対しても、通常のSMTPプロトコルによる電子メールの送信と同様の対策をする必要がある。
ではメールコンテンツフィルタリングソフトにはどのような機能が必要であり、その導入によってどのような効果が期待できるのであろうか。下記は必要とされる機能であり、追って説明していく。
1 情報漏洩対策としての監視
1−1 ポリシーによる電子メールブロック
1−2 製品導入を公表することでの抑止効果
1−3 アーカイブによる電子メール送受信とその内容の記録
2 Webアクセスの監視
2−1 ポリシーによるアクセス規制
表1:メールコンテンツフィルタリングソフトに必要な機能
1
2
3
4
次のページ
著者プロフィール
トレンドマイクロ株式会社 黒木 直樹
トレンドマイクロ株式会社 上級セキュリティエキスパート
1996年トレンドマイクロ株式会社入社。
ウイルス対策ソフト「ServerProtect」をはじめとする法人向け製品のプロダクトマーケティングを経て、製品開発部の部長代行に就任(2000年)。個人・法人向け全製品の開発においてリーダーを務め、同社のビジネスを支える主力製品へと成長させる。アウトソーシングサービス事業の立ち上げた後(2001年)、2002年にコンサルティングSEグループ兼インテグレーショングループ部長に就任。営業支援のシステムエンジニア、テクニカルコンサルタントを率い、情報セキュリティ全般にわたりプロジェクトを推進する。
INDEX
第7回:ウイルス/スパイウェアによる情報漏洩を阻止するために
企業の情報漏洩対策に関する考察
情報漏洩対策としての監視
スパイウェア対策
セキュリティ教育の重要性