Part2 何をどのように監視するか:「社内ブラックリスト」の作り方(2/2 ページ)
次に、どこをどのように監視するのかを考えてみよう(図2)。ここで重要なのは、監視の事実を社員に悟られないようにすることではなく、必要な情報を漏らさず監視できるかである。むしろ、監視の実施を悟られたとしても、そのことは不正行為やミスに対する抑止力として働くため、積極的に開示したほうがよい場合もある。
ただし、社員1人ひとりの行動を24時間365日にわたって監視するのは非常に困難である。しかし、監視すべきものについては、常時行う必要がある。この矛盾を解くにはどうするか。それには、監視の対象を絞り込むことが必要になる。
たとえば、ネットワークを介した外部への情報持ち出しを阻止するのであれば、その行為に関連するログやパケットを漏らさず記録し、復元することによって内部情報の漏えいを防御する。また、外部へのアクセスを監視するのであれば、それに関連するパケットをすべて記録して調査することで、どのような情報が持ち出されようとしたのかを把握するのだ。さらに、特定のサーバへのアクセスを管理するのであれば、そのサーバへのアクセス経路を1つにし、その経路を通過するパケットだけを記録し調査する。
このように、監視を効果的に実施するには対象とする経路を1つに絞り、そこを通るパケットを記録することにより、データの流れを把握することがポイントとなる。ただし、経路を1本に絞ったとしても、そこを流れるトラフィックが大量であれば、巨大なハードディスクを備えた大型の監視機器が必要になることもある。
監視から通信状態の復元へ
すべてのパケットを記録して調査し、不正行為やミスを重ねる人物を特定して「ブラックリスト」を作成する。簡単なことのようだが、それほどたやすく実現できるわけではない。
まず、記録したパケットデータを調査するには非常に大きな労力を必要とする。また、パケットの特性から問題を発見する知識やスキル、経験も必要だ。
そこで、こうした作業を支援するツールとして最近、パケットを記録し、通信の状態を復元できる「フォレンジックサーバ」が登場し始めている。フォレンジックとは「法的な」という意味で、きちんと記録されたパケットであれば法的証拠として用いることができることから「フォレンジックサーバ」と呼ばれるようになった。これを使うと、どのクライアント(誰)がいつ、どのような電子メールを送ったのか、あるいはどのWebサイトにアクセスし何をしたのかが、ひと目で把握することが可能だ。また、ファイル共有などに関しても、復元のためのツールが販売されており、関連製品も出そろい始めている。
フォレンジックサーバがほかのセキュリティ製品と大きく異なる点は、ハッカー行為に対し、それを阻止する対策をとらないことだ。あくまでも、データの記録に主眼を置き、ネットワークを流れる情報を監視するためだけの装置である。
統計的な手法を採用する
しかし、監視や記録だけでは「ブラックリスト」を作成できない。また、膨大な記録データの中から、不正行為やミスを重ねる人物を特定するのが非常に困難な場合もある。
このようなときは、統計的な手法を取ると効果的である。
統計的な手法というと、小難しく聞こえるかもしれないが、要はネットワークのトラフィック量を確認するだけである。もちろん、トラフィック量といっても、部署や個人の業務内容によって差があり、その多寡を基準に問題を検出することはできない。しかし、通常の業務に伴うトラフィック量はほぼ一定しており、季節要因や特定の業務に基づく変動でないかぎり、大きく変化することはない。この点に着目すれば、たとえ数%の変化であっても、それは通常と異なる作業を行っているということであり、その原因を調査する理由になる。そして、こうした作業を継続的に行うことで、不審な行動や不正な行為を行う人物を絞り込むことが可能だ。これができれば、後は記録してあるパケットを詳細に分析し、不正の証拠を特定すればよいことになる。
システム管理者が持つべき認識
「監視」という言葉は、監視する側、監視される側のどちらにとっても、あまりよい響きを持つフレーズではない。「できれば、監視など行いたくない」と思う管理者のほうが圧倒的に多いだろう。
しかし、ネットワークを介した内部情報の漏えいや攻撃・妨害などの不正は、企業活動の根幹をも揺るがすインパクトを持つようになっており、もはや看過し得ないところまできている。
これまでのセキュリティ対策は、外部からの攻撃やウイルス/ワームなどに重点が置かれてきた。しかし、Part1で示したように、今後は内部者による不正やミスへの対応がきわめて重要になる。企業活動を円滑に安全に進めるためには「社員」を対象とした監視と一連の対応措置が不可欠であるという認識が、これからの管理者の要件になることは間違いないだろう。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 管理職なら年収2000万円超え サイバーセキュリティという困難だが“もうかる仕事”
- “生成AI依存”が問題になり始めている 活用できないどころか顧客離れになるかも?
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft、脆弱性の開示に向けて業界標準の体系を採用 大改革がもたらすメリット
- 「アダルトビデオが無料です」――IE標的のトロイの木馬に要注意
- ドローンいらず? 飛行動画作成できる「Google Earth Studio」登場
- NVDは多くの課題を抱えて機能不全に陥っている 問題点を整理しよう
ITmediaはアイティメディア株式会社の登録商標です。