Part3 監視のポイントをどこに置くか：「社内ブラックリスト」の作り方（3/7 ページ）

[N+I NETWORK Guide]

監視の対象：個人の端末

端末上の振る舞いをきめ細かく監視・記録する

湯川克巳（インテリジェントウェイブ）

　業務で扱う重要なデータは、各種サーバだけでなく、社員の端末にも蓄積されている。また、この端末は見方を変えれば、企業ネットワークへの入り口でもあり、しかも社員数に相当する台数が点在している。つまり、社員が不正を働くポイントがそれだけ多数あるということなので、個人の端末にこそ厳重な情報漏えい対策が必要である。実際、個人の端末やそれに代わるマシンを媒介に情報漏えいが起きている。次のような例だ。

1.未登録の端末を接続し、情報を盗み出す

　ほかの社員のID／パスワードを使って未登録PCを接続し、大量データをサーバからダウンロードする。

2．USBメモリなどをPCに接続し、情報を盗む

　端末に取り出した情報を、USBメモリやCD-Rなどの外部メディアを使って持ち出す。

3.アクセス権限を持つ人間が情報を盗む

成りすましではなく、正規にアクセス権限を持つ者が、不正に情報を持ち出すケースも増えている。

4.ノートPCを持ち帰り、情報を盗む　

ノートPCなどに内部情報を蓄積し、オフライン環境になったときに抜き出す。

　今、企業において一般的に講じられているクライアントPC対策は、IP/MACアドレスやメールアドレスによる監視、キーワードによる監視、ユーザーごとのアクセス制御による機密情報へのアクセス管理などである。

　しかし、1〜4のような手段が使われて内部情報が流出するときは、このような対策では防御できない。また、ネットワーク監視だけでも防止することは不可能だ。

　ここで、個人の端末という範囲に絞って何を監視すべきか整理してみよう（表1）。

表1■クライアントPCの監視に必要な機能　―CWATの場合

1.業務で使用したPCの持ち出し

企業ネットワークから切り離された時点で検出する必要がある。

2.ネットワークプリンタによる印刷

　誰が、どういう内容をネットワーク上のプリンタで出力したかを把握する。

3.CD-Rなどへの書き出し

　CD-Rなど、外部バス接続を経由して書き出しが行われたことを検知・監視する。

4.企業ネットワークに接続された未登録PC

　　未登録PCが企業ネットワークへ接続を試みた時点で検出する。

5.インターネットへの接続

インターネットへの接続が行われた時点で検知し監視する。

6.電子メール

　Part3「電子メール」の項を参照。

　個人の端末を対象とした監視システムは、今挙げた項目をすべてチェックできるものでなければならない。どれ1つが欠けても、社員による不正行為を防御するには不十分だ。これと、ネットワーク監視とをあわせて行えば、社員個々の企業ネットワーク上での行動はおおよそ把握できる。そのためにも、個人の端末を監視するシステムには、不正や違法に対してリアルタイムで制御を行える機能や、集中監視、管理者によるマニュアル作業の支援機能などが必要になる。

監視のPoint 1.個人の端末は、さまざまな不正が行われる危険性を持つ。 2.IP/MACアドレスやキーワードなどによる監視・制御には限界がある。 3.ネットワーク監視と組み合わせると効果的。