Part2 何をどのように監視するか「社内ブラックリスト」の作り方(1/2 ページ)

細心の注意を払い継続的に監視する必要があるのは、エンドユーザーが情報交換を行えるサービスである。最大の目的は、流出してはならない内部情報の漏えいを防止することだが、重要度の高い情報を蓄積したサーバなどに対する内部からの攻撃を防ぐことも視野に入る。

» 2005年02月21日 09時00分 公開
[坂本漱仁(三菱スペース・ソフトウエア),N+I NETWORK Guide]

N+I NETWORK Guide 10月号(2004年)より転載しています

POINT
1 情報交換が行われるサービスやクライアント端末を注視する
内部情報の漏えいは、エンドユーザーが情報交換を行うサービスで起きやすい。また、クライアント端末が不正行為の場になるため、継続的な監視を行う必要がある。
2 監視の対象を絞り込む
社員1人ひとりの行動を24時間365日監視するのは非常に困難だ。そこで、監視の対象を1つに絞り、その経路を通る全パケットを記録するのが効率的で効果的である。
3 統計的な手法を駆使する
監視やログ/パケットの記録だけでは「ブラックリスト」を作成できない。記録したパケットを統計的に処理し、その「変化」に着目し問題を検出していく手法をとる。

情報交換サービスとクライアント端末

 企業ネットワークには、エンドユーザーが直接認知しないサービスが数多く存在する。たとえば、ドメインの検索、時刻の同期などだが、管理者はこのようなサービスにそれほど労力を割く必要はない。

 これに対し、細心の注意を払い継続的に監視する必要があるのは、エンドユーザーが情報交換を行えるサービスである。たとえば、電子メールやWebアクセス、ファイル共有、データベースサービス、業務アプリケーションなどだ。さらに、情報を蓄積しアウトプットの吐き出し口となるクライアント端末も監視の対象となる。

 企業は、これらのサービスや端末に対して、許されるかぎりのコストとリソースをかけて監視を行うべきである。その最大の目的は、流出してはならない内部情報の漏えいを防止することだが、重要度の高い情報を蓄積したサーバやサービスに対する内部からの攻撃を防ぐことも視野に入る。

従来の監視の漏れを「人」への注視で補う

 各サービスや端末での監視項目についてはPart3で詳しく解説するので、このパートでは何をどのように監視するのか、そのポイントに触れてみよう(図1)。

図1 図1■何を監視するか

電子メール

 電子メールは、手軽で便利な情報交換の方法として企業に定着している。添付機能を使えば、製品カタログや参考資料などをいとも簡単に社内外へ送付することが可能だ。その半面、ミスや故意により、たやすく情報が流出する危険性も秘めている。それを危惧する企業の中には、特定のキーワードを含む電子メールの配信を停止する措置を講じているところもある。

 しかし、この対策は、キーワードに漏れがあるとメールは難なく送信されてしまい、情報が漏えいしてしまう。そのため、キーワードのメンテナンスに大きな負荷がかかるマイナス面がある。その逆に、キーワードをきめ細かく数多くセットしたために送信されない電子メールが大量に残り、そのチェックに日々の業務の大半を割かざるを得ない管理者も出てくる。どちらにしても、設定したキーワードで万全となることはなく、この方法で電子メールによる情報漏えいを完璧に阻止するのは不可能と考えるべきだろう。

 さらに、この方法では、情報が漏えいしたか否かの確認が困難である。つまり、メールの送信ログだけでは、メールの内容まで把握できないのだ。それゆえ、誰がどこに、どのような内容のメールを送信したのかを確認できるように、ネットワークを常時監視しておかなければ、電子メールの監視としては不十分である。

Webアクセス/Webメール/掲示板

 外部Webサイトへのアクセスでは、アダルトサイトなど、就業時間中に閲覧すべきでないWebサイトをリストアップし、アクセスできない措置を講じている企業が多数ある。業務に不要なすべてのWebサイトを網羅できるわけではないが、これで、業務とは関係のないWebサイトの閲覧をかなりの程度プロテクトできる。

 しかし、Webメールのほうは、電子メールと同様の手軽さで、顧客名簿などを送信できる危険性を持っている。といって、Webメールサービスを提供するWebサイトへのアクセスをいくら制限しても、その種のWebサイトは無数にあり、いくらでも内部情報が流出する可能性がある。

 Webメールと同様に内部情報が流出する危険性を秘めているのは、Web上の掲示板だ。掲示板では、書き込みの内容によって、あるいは書き込んだのが社員であった場合に大きな社会問題[*2]となることがある。社員が特定の人物を誹謗中傷する書き込みを行ったりすると、その批判・非難の矛先は当の社員ではなく企業に向けられ、大きなダメージを受けることがあるのだ。このような場合も、電子メールと同様に、誰がいつ、どのWebサイトにアクセスし、そこで何を参照し、何を書き込んだかを監視する必要がある。

ファイル共有

 ファイル共有は、社内において最も確実に情報を移動できる手段の1つである。そして現在は、たとえばWindowsのファイル共有を利用すれば、UNIXやMacintoshからでも簡単にWindowsファイルサーバにアクセスでき、情報を引き出すことができる。

 したがって、ファイルサーバに関しても、誰がいつ、どのサーバにアクセスし、どのようなファイルに対して何を行ったのか(閲覧、ダウンロードなど)を監視する必要がある。このことは、NFS、FTP、Webなどのファイル共有についても同様だ。

 また、このほかにも重要な情報を扱うイントラネットのサービスが数多くあるが、各サービスの監視で共通するのは、どのクライアント(誰)が何をしているのかを具体的に把握すべきという点である。

 このように、ネットワーク上を飛び交う各種サービスを監視し、情報漏えいや攻撃を防御するには、監視対象に即した仕掛けと同時に、人を軸にした監視が不可欠になるのだ。

監視の対象を絞り込む

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ