ここから本文です。
2014年6月末、国内、海外を含め最大規模といえるほどの大量情報漏えい事故のニュースが飛び込んで来ました。
補償額だけで200億円と報じられていますが、失った信頼とそれに伴う顧客離れによる被害は計り知れません。そんな事件の発端は、従業員が私物スマートフォンに企業の機密データをコピーできることに気づいたことです。 今や誰もが当たり前のように持っているスマートフォンが、実際にこれだけの重大事件を引き起こす脅威となりうるのです。
本特集では、全ての企業が直面しているこの脅威にどう対応できるのかを考えます。
PART-1では対策例、PART-2ではどうしてスマートフォンからコピーできてしまったのかをご紹介しました。今回は、委託先のシステム開発および保守作業員を含む内部からの情報漏えい対策について考えます。
経済産業省は9月中にも委託先の監督強化などについて個人情報保護法ガイドラインおよび情報処理推進機構(IPA)の内部不正防止ガイドラインを改定するということです。内部不正による脅威を再確認しましょう。
国内企業で、ソフトウェアの開発やシステム保守・運用を外部に委託し、 管理監督のみを社内人員で行うことは多く珍しいことではありません。
個人情報を委託する場合、個人情報保護法にもあるとおり、 委託元には委託先の監督責任があります。常時監視することにより作業員の不正操作の検出ができ、 大事なデータを守ることが出来ます。
本当に必要な操作ログが取得できているでしょうか? 自社の対策を今一度見直してみてはいかがでしょうか。
常時監視を行い、ユーザーの不正な行動をいち早く察知することは非常に重要なことです。 最近ではユーザー操作をリアルタイムで監視できる製品が数多く販売されており、専門機関に依頼せず社内でも常時監視が出来るようになってきています。
☆監視製品選択のポイントです
一般的に監視製品では以下のようなユーザー操作のログが取得できます。 (製品により異なります。) このログに、ファイルサイズやファイルの場所など、どれだけの詳細情報が含まれているかにより、不正操作の検知精度が変わってきます。
ログ監視製品 MylogStar では業界最多15種類のログ取得が可能です。また、DLP製品のDigital Guardianでも多くのログを取得することができます。
コンピュータは、ユーザーモードとカーネルモードを切替えながらアプリケーションを実行しています。
例えば、エクスプローラでのファイルコピーはユーザーモード、コマンドプロンプトでのコピーコマンド実行はカーネルモードで実行されます。
ユーザーモードでのログしか集めない製品だと、全てのユーザー操作を把握することが出来ません。 カーネルモードでのログを取得できる製品を選択しましょう。
MylogStar、Digital Guardianではカーネルモードでのログ取得に対応しています。
ログ監視はサーバ、クライアントどちらに対しても、必要に応じて実施することが出来ます。守りたいサーバの数やクライアント数に応じて導入対象を検討します。また、多くの端末を監視したい場合は管理サーバを設置してログ集中管理をすることも出来ます。
導入例① 特定のサーバや特定クライアントのみを監視 導入例② 利用するクライアントすべてに導入し、管理サーバで一括監視する |
MylogStarはサーバ/クライアント単体での導入ができるため低コストでの導入が可能です。もちろん大規模向けも対応しています。Digital Guardianでは管理サーバですべてのPCを管理/監視します。
(ご参考)
ネットワーク経由での情報漏えい対策が課題の場合は、Palo Alto Networks 次世代ファイアウォールでの監視もおすすめです。 通信経路のアプリケーション名/ファイル名や、クレジットカード番号など重要情報を含むデータをチェックし可視化できるので、クラウドサービスなどを悪用したデータ詐取の検知・防止に役立ちます。
パナソニック インフォメーションシステムズでは、上記のような対策ができる製品を複数ご用意しています。
ログ監視を始めたい方へ | MylogStar 1台のPCから3万台の大規模まで。コストにあわせて始められます |
ログ監視とDLPをあわせて実施したい方へ | Digital Guardian定評のあるDLP製品です! |
PART-1からPART-3にかけて、情報漏えい対策についてご紹介してきました。
他にも企業が行なうべき対策はたくさんあります。入退室管理や持込機器の制限、作業場所を死角にしないなどの物理的な対策、作業員教育、重要作業の複数人での作業実施徹底など、考えるときりがありませんが、出来ることから少しずつでもセキュリティ対策を強化していくことが情報漏えい防止につながることは間違いありません。
※当サイトに記載された社名および商品名などは、それぞれ各社の商標または登録商標です。