Part1 なぜ「社員」の監視が必要か:「社内ブラックリスト」の作り方(2/3 ページ)
情報セキュリティ対策は、「抑止」「予防」「検知」「回復」の4つに分類されることが一般的である(図4)。内部不正による情報漏えいへの対策についても、この4分類それぞれの対策を網羅的に施す必要がある。以下、4分類に従い、それぞれ考えうる対策と、企業への導入状況などをまとめる。
抑止
最初に、内部不正による情報漏えいを「抑止」する策だが、これは、「自発的な抑制を促す対策」と「受動的な牽制を働かせる対策」とに2分される。
自発的な抑制を促す対策とは、情報の利用者が自らを規制し、ルールや対策を能動的に遵守するようモチベーション(動機付け)を持たせる対策である。モチベーションの代表的なものとして、社会的動機、金銭的動機、自己実現動機などがあり、これらの動機を満たすことで、自発的な抑制を促すことができる。社会的動機とは、「自らが所属する集団(組織)の中で、高い注目や評価を得たい」という動機である。持ち出しが禁止されている個人情報を持ち出し、車上荒らしにあい盗難されるなどという事件も起こっているが、こういう事件が発生する組織では、情報セキュリティ対策の遵守が業務の利便性向上に比べ軽視されている可能性がある。トップダウンにより、情報セキュリティに積極的に取り組む文化を形成し、情報セキュリティ対策の積極的な遵守が高い評価につながることを認識させる取り組みが必要となる。この取り組みには、情報セキュリティに関する定期的な教育・訓練も含まれる。また、「金銭を得たい」という金銭的動機、「自己を成長させたい」という自己実現動機を満たすために、情報セキュリティ対策の遵守状況を人事評価に結びつけることが考えられる。
さらに、受動的な牽制を働かせる対策とは、自らの行動が他者の監視下にあり、秘密裏に不正行為を働くことができないことを認知させることで、情報の利用者を規制する対策などである。1つは他者の視覚的な監視によって規制する対策が考えられ、サーバ管理者の挙動を確認できるようサーバルームをガラス張りにする、機密情報にアクセスしていることを確認できるよう、通常業務を行う端末と機密情報を扱う端末を分離する、業務時間内のみに機密情報へのアクセスを制限するなどの対策が挙げられる。
また、後述する検知策を広く周知することで、情報の利用者に不正行為を働いたことが即時に検知できることを認識させる対策もある。具体的には、電子メール監視の事実を周知することで、電子メールへのファイル添付による情報の持ち出しを抑止する対策などだ。ほかにも受動的な牽制を働かせる対策には、罰則の規定などで不正を行った際の自らの不利益を明確にしておく対策があり、誓約書を提出させるなどの対策があげられる。
予防
次に、内部不正による情報漏えいを「予防」する策だが、利用者の認証を厳格に行い、不正な利用(成りすまし)を防止する対策、情報の利用者に付与する権限を最小限にし、業務に必要な範囲内にとどめる対策、過失を防止する対策などがある。
成りすましを防止する認証方法は、基本的に次の3要素に分けることができる。
- 正当な利用者が知っているべきことを知っているか(=パスワード、パスフレーズ、暗証番号などを用いた認証)
- 正当な利用者が持っているべきものを持っているか(=ワンタイムパスワードを生成するトークン、磁気カード、鍵などを用いた認証)
- 正当な利用者と同じ身体的特徴、特質があるか(=指紋、虹彩、掌形、サイン時の筆圧・速度などを用いた認証)
認証を厳格に行うためには、上記の2要素以上を組み合わせる必要があるといわれている。これまではリモートアクセス時に2要素以上を組み合わせることが多かったが、最近では、社内での情報システム利用についてもパスワードとUSBキーを用いるなど、2要素以上による認証を行うことが多くなりつつある。
また、情報の利用者への権限を最小限にとどめる対策としては、アクセス制御策がまずあげられる。上記の認証方式によって正当な利用者であることを識別した後に、それぞれの利用者が業務に必要な範囲の情報のみにアクセスできるよう、論理的・物理的な制限を行う。ファイアウォールやVLANなどを導入し、論理的なアクセス制御を施すことは一般的だが、特に最近は、施設内を多数の区画に分け、社員であっても本当に必要な範囲にのみ物理的なアクセス範囲を限定することが一般的になってきている。
さらに、権限の最小化としては、持ち込み/持ち出しの禁止、FD、CD-Rといった可搬記録メディアの使用禁止などの物理的な対策に加え、電子ファイルをPDFに変換し、改ざん、文書抽出、印刷などを禁止する対策も一般的になってきている。特に最近は、PDFへの変換を行わなくとも、改ざん、文書抽出、印刷、別名保存、メール添付、画面キャプチャなどを禁止するツールの種類が増え、今後、採用する企業が増加することが予想される。また、管理者権限を最小化するために、セキュアOSの導入が進むだろう。
さらに、過失を防止する対策としては、紙書類の右肩、パイプ式ファイルの背表紙などへの「秘密」「持ち出し禁止」といった表示、機密情報を扱うシステムにログインした際に、注意事項をポップアップする対策などがあげられる。
なお、経済産業省発行の「営業秘密管理指針」(2003年1月30日)では、企業の機密情報が不正競争防止法における営業秘密として保護されるための要件として、「情報にアクセスした者にそれが秘密であることが認識できることが必要」とした判例を取り上げ、具体的対策例として、「書類に『部外秘』『厳秘』と記載すること」などを挙げている。機密である旨の表示は、不正競争防止法による保護を受けるためにも必要である。
検知
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- 「欧州 AI法」がついに成立 罰金「50億円超」を回避するためのポイントは?
- 日本企業は従業員を“信頼しすぎ”? 情報漏えいのリスクと現状をProofpointが調査
- 「プロセスマイニング」が社内システムのポテンシャルを引き出す理由
- VMwareが「ESXi無償版」の提供を終了 移行先の有力候補は?
- AWSリソースを保護するための5つのベストプラクティス CrowdStrikeが指南
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
ITmediaはアイティメディア株式会社の登録商標です。