PART1 性悪説による「内部セキュリティ対策」とは何か？：「性悪説」による機密・個人情報漏えい対策 第2部（2/2 ページ）

[園田法子、橘田明雄、卯城大士（チェック・ポイント・ソフトウェア・テクノロジーズ），N+I NETWORK Guide]

　内部の脅威の発生源は「人」である。したがって、社員が内部セキュリティの脅威となることがないように情報管理などに関する行動規範を定める必要がある。また、社員がその内容を理解できるよう、書類などに明確に記述し、全員に通達する。さらに、業務の一部を外部委託している場合は、外部委託先にも内部セキュリティに関する行動規範を含めた契約が必要だ。この書類には、行動規範に反した際の罰則などの項目も加えておく。

　最近では、こういった書類を社員に配布し、その内容を理解したことを示すための署名をすることを義務付けている企業も数多くある。これにより、社員および外部委託先は、社内システムを利用するうえで契約上にある行動規範に違反しないよう、より注意深く行動するようになるだろう。

　しかし、これだけでは結局、すべての行動は個々人の判断に委ねられることになり、人の行動を信用するという性善説での対策の域を出ていない。性悪説に基づいた場合、すべての行動責任を個々人に委ねるのではなく、社員に対する教育を徹底したうえで、システムで管理できる部分は最大限に強化することが非常に重要なのである。

内部からの脅威には何があるかを把握しておく

　企業内部をシステム的に安全に管理するためにはまず、どのような被害があるのかを理解しなくてはならない。では、内部からの脅威にはどういったものがあるかを見ていこう。

図1■内部でのセキュリティ脅威

1.物理的な場所への不正侵入アクセス

　企業内には、社員だけでなくパートナー会社やビル管理会社など、さまざまな人が出入りする。これまでに発覚している数々の情報漏えい事件では、社員や外部委託会社による関与が疑われているケースも少なくない。

　社内には、電子データのみならず、紙ベースの契約書や資料など、さまざまな重要情報が散在している。これら情報が氾濫している場所へは、本来入る権利がある人のみが入室できるよう、厳しく管理を行うことが必要である。

2.不適切なアクセス権限設定による情報漏えい

　これまで発覚している多くの情報漏えい事件では、顧客情報が保存されているデータベースへのアクセス権限の設定に問題があったことがわかっている。顧客情報などの重要なデータについては、アクセスできるユーザーの数を制限するだけでなく、業務内容によってアクセスできる情報も制限することが必要である。

3.ネットワーク経由での不正アクセス

　企業内にあるハブなどのポートにケーブルを差し込んでPCを接続することで、無差別に社内ネットワークにアクセスできてしまう環境では、社員以外の人がさまざまな情報リソースに触れることができてしまう可能性がある。このようなアクセスが行われないよう、ネットワークレベルで管理を行うことが重要である。

4.企業内にあるコンピュータからの不正アクセス

　企業内で接続されているコンピュータをユーザーが席を外した際に利用することで、社内の情報リソースを不正に取得されてしまう可能性がある。ユーザーによってアクセスできる情報が異なるなら、コンピュータの持ち主以外がアクセスできないよう、対策を講じなければならない。

5.モバイルコンピュータなどの物理的盗難

　モバイルコンピュータを社内に放置して退社し、次の日出社したらなくなっていた、または外出した際に携帯したモバイルコンピュータが紛失するといった被害が数多く報告されている。さらに、ワームに感染したノートPCを社内に持ち込んだことにより、企業ネットワーク全体に感染が拡大してしまったなどの被害も増大している。モバイルコンピュータの利用には、盗難や紛失に注意するだけでなく、コンピュータの状態自体を厳しく管理することが大切である。

6.アプリケーション利用による情報流出などの被害

　社内のユーザーがインターネットなどにあるフリーウェアをインストールした際に、トロイの木馬型プログラムやスパイウェアが入ってしまう可能性がある。また、不必要なアプリケーションを利用することにより、それらの脆弱性を狙ったワームに感染する可能性も高くなる。こういった被害を防ぐための対策が必要だ。

　このように、内部の脅威にはさまざまなものがあり、これらの脅威から企業内部を守るためには、単一のシステムではなく総合的な内部セキュリティソリューションを導入することが重要となる。