2014年6月末、国内、海外を含め最大規模といえるほどの大量情報漏えい事故のニュースが飛び込んで来ました。

補償額だけで200億円と報じられていますが、失った信頼とそれに伴う顧客離れによる被害は計り知れません。そんな事件の発端は、従業員が私物スマートフォンに企業の機密データをコピーできることに気づいたことです。 今や誰もが当たり前のように持っているスマートフォンが、実際にこれだけの重大事件を引き起こす脅威となりうるのです。

本特集では、全ての企業が直面しているこの脅威にどう対応できるのかを考えます。

PART 3   委託先を含む内部からのデータ漏洩防止策を考える

PART-1では対策例、PART-2ではどうしてスマートフォンからコピーできてしまったのかをご紹介しました。今回は、委託先のシステム開発および保守作業員を含む内部からの情報漏えい対策について考えます。

経済産業省は9月中にも委託先の監督強化などについて個人情報保護法ガイドラインおよび情報処理推進機構（IPA）の内部不正防止ガイドラインを改定するということです。内部不正による脅威を再確認しましょう。

委託先からの個人情報の漏洩は、委託元に監督責任！

国内企業で、ソフトウェアの開発やシステム保守・運用を外部に委託し、 管理監督のみを社内人員で行うことは多く珍しいことではありません。

個人情報を委託する場合、個人情報保護法にもあるとおり、 委託元には委託先の監督責任があります。常時監視することにより作業員の不正操作の検出ができ、 大事なデータを守ることが出来ます。

本当に必要な操作ログが取得できているでしょうか？　自社の対策を今一度見直してみてはいかがでしょうか。

コストをかけずに常時監視が簡単に実現できます

常時監視を行い、ユーザーの不正な行動をいち早く察知することは非常に重要なことです。 最近ではユーザー操作をリアルタイムで監視できる製品が数多く販売されており、専門機関に依頼せず社内でも常時監視が出来るようになってきています。

☆監視製品選択のポイントです

• 取得できるログの種類と内容
• 取得できるログのレベル
• 不審な操作が行われた時に管理者にリアルタイムで通知できるか

■ 監視製品ではどのようなログがとれるのでしょうか？？

一般的に監視製品では以下のようなユーザー操作のログが取得できます。 （製品により異なります。） このログに、ファイルサイズやファイルの場所など、どれだけの詳細情報が含まれているかにより、不正操作の検知精度が変わってきます。
ログ監視製品　MylogStar では業界最多15種類のログ取得が可能です。また、DLP製品のDigital  Guardianでも多くのログを取得することができます。

■ 一部のログ監視製品では取得できないログが存在するってホント？？

コンピュータは、ユーザーモードとカーネルモードを切替えながらアプリケーションを実行しています。

例えば、エクスプローラでのファイルコピーはユーザーモード、コマンドプロンプトでのコピーコマンド実行はカーネルモードで実行されます。

ユーザーモードでのログしか集めない製品だと、全てのユーザー操作を把握することが出来ません。 カーネルモードでのログを取得できる製品を選択しましょう。

MylogStar、Digital  Guardianではカーネルモードでのログ取得に対応しています。

■ どこのログを取得するべきでしょうか？

ログ監視はサーバ、クライアントどちらに対しても、必要に応じて実施することが出来ます。守りたいサーバの数やクライアント数に応じて導入対象を検討します。また、多くの端末を監視したい場合は管理サーバを設置してログ集中管理をすることも出来ます。

MylogStarはサーバ/クライアント単体での導入ができるため低コストでの導入が可能です。もちろん大規模向けも対応しています。Digital Guardianでは管理サーバですべてのＰＣを管理/監視します。

（ご参考）
ネットワーク経由での情報漏えい対策が課題の場合は、Palo Alto Networks 次世代ファイアウォールでの監視もおすすめです。 通信経路のアプリケーション名/ファイル名や、クレジットカード番号など重要情報を含むデータをチェックし可視化できるので、クラウドサービスなどを悪用したデータ詐取の検知・防止に役立ちます。

パナソニック インフォメーションシステムズでは、上記のような対策ができる製品を複数ご用意しています。

他にも行なうべき対策がたくさんあります

PART-1からPART-3にかけて、情報漏えい対策についてご紹介してきました。

他にも企業が行なうべき対策はたくさんあります。入退室管理や持込機器の制限、作業場所を死角にしないなどの物理的な対策、作業員教育、重要作業の複数人での作業実施徹底など、考えるときりがありませんが、出来ることから少しずつでもセキュリティ対策を強化していくことが情報漏えい防止につながることは間違いありません。