Part4 「社内ブラックリスト」の作り方と活用法：「社内ブラックリスト」の作り方（2/2 ページ）

[牧村修司，N+I NETWORK Guide]

　1つの考え方は、監視は継続して行うものの、制限やコントロールは段階を追って強めていくということだ。

　たとえば、重要情報を業務システムから転送し、規定で禁止されているファイルコピーなどを行った場合、システム的には即シャットダウンとしたり、あるいは警告のメッセージを表示させるなど、さまざまな対応を取り得る。これを、監視初期の段階からいきなりシャットダウンとするのでは、システムに不慣れなユーザーまでも巻き込んでしまい、社内が混乱することになりかねない。

　筆者は、きわめてクリティカルな不正行為に対してはストップをかけるが、監視初期の段階では、警告メッセージの表示さえも最小限にとどめることをすすめている。この段階でシャットダウンなどの措置を取ることは、まずない。ただし、監視は継続し、パケットなどの記録を取り続ける。いわば、社員の振る舞いを静かに見守る段階なのだ。

パケット分析から「要注意人物」が浮かび上がる

　こうしたモニタリングを行った後に、収集したパケットなどを分析し、企業（社員）のネットワーク利用の傾向をはじき出す。これを基に、初期よりも一歩進んだコントロールを設定する。また、システム面の対応だけでなく、ユーザーに対して「注意」を喚起したり、場合によっては運用ルールの変更も検討する。たとえば、休日になると外部サイトへのトラフィックが異常に増えるようなときは、休日利用の規定を変更する。

　また、モニタリングを継続していると、未登録PCの社内接続をひんぱんに繰り返したり、業務とはかかわりのないシステムへのアクセスを何度も試みるような社員が浮かび上がってくる。そうした行動にどう対処するかは、企業のセキュリティポリシーによって決まるが、そのこととは別に、システム管理者にとっては「要注意人物」がクローズアップされたということだ。もちろん、この中には無知（社内ルールを知らない）や不注意によるものも含まれているだろう。しかし、多数いる社員の中で、システム運用上、問題のある人物が少数に絞られたことは間違いない。

　筆者の経験では、企業のシステム管理者たちが「ブラックリスト」という言葉を口にするのを聞いたことがない。それを思い返すと、今回の特集の中だけの呼び方という気がするが、しかし実態はまぎれもなく、「ブラックリスト」化の方向へ進んでいる。それは、社員の不正行為が「社内倫理規定」などでは止めようのないレベルに達しており、一方、監視を行う製品・技術がそろってきているからだ。すでに、少なくない企業が、ネットワーク監視によって不正を行う社員を特定し、セキュリティ対策を講じる動きを始めている。その中には、告訴や懲罰に向けて証拠を確保するための取り組みもある（図）。企業と社員の関係を根本的に考え直す時期にきているのかもしれない。

図■ブラックリスト作成の過程と監視結果の活用例