ここから本文です。
2014年8月8日特集!
大量情報漏えい事件は防げなかったのか?! ~ 私物スマートフォンを使ったデータ漏えい防止策を考える【PART-2】
2014年6月末、国内、海外を含め最大規模といえるほどの大量情報漏えい事故のニュースが飛び込んで来ました。
補償額だけで200億円と報じられていますが、失った信頼とそれに伴う顧客離れによる被害は計り知れません。そんな事件の発端は、従業員が私物スマートフォンに企業の機密データをコピーできることに気づいたことです。今や誰もが当たり前のように持っているスマートフォンが、実際にこれだけの重大事件を引き起こす脅威となりうるのです。
本特集では、全ての企業が直面しているこの脅威にどう対応できるのかを考えます。
PART 2 どうしてスマートフォンに情報をコピーできてしまったのか?
PART-1では対策例を紹介しましたが、今回はどうしてスマートフォンからコピーできてしまったのかを考えてみます。
きちんと対策しているはずなのに、スマートフォンがすり抜けている!?
スマートフォンをUSBでPCに接続すると主に以下モードでの接続になります。
1.メディアデバイス(Media Device Protocol : MTP)
2.カメラデバイス (Picture Transfer Protocol : PTP)
3.USB大容量ストレージ(Mass Storage Class : MSC )
USBメモリやガラケーなどをPCに接続するとMSC として認識されますが、 スマートフォンは、上記すべての転送方式を使用することが可能です。
既に MSC の制御が出来る製品で対策を実施している場合でも、 MTP や PTP に対応できておらず、スマートフォンがすり抜けている場合があります。
現行の製品で十分なセキュリティを保てない場合は製品の再選定が必要です。 また、新たに対策を検討中の方は、これらに対応している製品を選ぶ必要があります。
Digital Guardian、 Sophos EndUser Protection ではスマートフォンに対応した制御を実現できます。
ファイルが知らない間に持ち出しされているかもしれない!?
今回の事件では、ログ監視の目を潜り抜けるため、ファイルを直接ダウンロードせず他のサーバーに一旦コピーしてから持ち出ししたと報じられております。
実際、アクセス権のある管理者の犯行は不正アクセスとしては検知されておらず、顧客からの問合せがなければ、もっと長い間気付かれずに情報が漏れ続けていたかもしれません。 
一般的に個人情報の保管されているサーバは、厳重なアクセス権管理で運用されログ監視も行われております。 しかしながら、アクセス権さえあれば犯行は容易であり、ログ監視についても何か起こった後の追跡には有効ですが、 予防策としては不十分です。
このようなリスクに対して以下のような対策が有効です。
・ 持ち出しても読めない「暗号化」対策
・ 重要情報を持ち出させない「DLP(data loss prevention/data leak prevention) :情報漏えい対策」
■ 暗号化対策
暗号化していても情報漏えいの危険性!?どのような暗号化システムが必要?
情報漏えい対策として、暗号化は非常に有効な手段です。ただし、復号化できる条件が非常に重要です。
暗号化は盗難/紛失対策には有効ですが、ユーザーがどの環境でも復号化できてしまっては内部犯行を防げません。 復号化を“社内PCのみ”などに制限することによって、そのリスクを低減できます。
以下のような暗号化状況では簡単にデータを持ち出されてしまいます。 
それでは、どのような条件が追加できれば、より安全にデータを守れるでしょうか? 
Sophos SafeGuard Enterprise、Digital Guardianでは復号化できるPCの限定はもちろん、他にも多くの条件設定で重要ファイルを守ることが可能です。
■ DLP(data loss prevention/data leak prevention):情報漏えい対策
情報漏えいを防ぐDLPって、一体どんなことができるの??
企業内にある重要な情報を区別して漏洩させないシステムをDLPと言います。 従来からある”人”をベースにしたアクセス管理とは異なり、DLPは”重要なデータ”そのものに主眼を置いて、データを漏えいから守る仕組みです。
内部からの情報漏えいにも備えるなら、DLPは現時点で考えられる最高の対策と言えます。
アクセス権限のあるユーザーの操作であろうと、不正侵入やウィルスによる攻撃であろうと、”重要なデータ”の持ち出しはシステムがブロックします。 
“重要データ”が何かは企業、組織によって様々だと思いますが、例えば以下のような条件で設定することが可能です。 (製品により多少異なります)
・ 拡張子
・ ファイルの保存場所
・ ファイルに含まれるデータ (クレジットカード情報、住所情報など正規表現で現せるもの)
・ ファイルに含まれるキーワード (“社外秘” “Confidential”など特定のキーワード)
・ ファイル名
・ ファイルプロパティに埋め込まれた任意のキーワード
Digital Guardianは柔軟なファイル識別法およびファイル制御法を持っている世界最高水準のDLP製品です。 また、 Sophos EndUser Protectionでは低コストで簡易的なDLPを実現できます。
パナソニック インフォメーションシステムズでは、上記のような対策ができる製品を複数ご用意しています。
| 手軽に始めたい方へ | Sophos EndUser Protection ウィルス対策のコストで情報漏えい対策を実現! |
| 暗号化から開始したい方へ | Sophos SafeGuard Enterprise 細やかな暗号化が実現できます! |
| 本格的に制限したい方へ | Digital Guardian 定評のあるDLP製品です! |
最後に
今回の事件は、決して企業がセキュリティ対策に怠慢だったために起こったものではありません。しかし、適切な運用を行っていれば、ここまでの大規模漏えいになる前に阻止できた可能性も否定できないと考えます。
パナソニックインフォメーションシステムズでは、上記で紹介したようなセキュリティ製品によるソリューションの他、既存システムのログ分析から脅威をいち早く検知するソリューションもご提案しております。
起こってからでは遅い情報漏えい対策、ご心配な点がございましたら、まずはお気軽にご相談ください。
関連ソリューション・関連商品
※当サイトに記載された社名および商品名などは、それぞれ各社の商標または登録商標です。