第8回 内部情報漏えい対策の常識(前編)知ってるつもり?「セキュリティの常識」を再確認(2/3 ページ)

» 2005年03月15日 08時00分 公開
[中原修(三井物産セキュアディレクション),ITmedia]

 内部情報漏えい対策を検討するにあたり、まず初めに、守るべき電子データは何なのか明確にしておくことが望ましい。守るべき電子データを把握していない状態では、内部情報漏えいを防止するにはすべての電子データを保護する以外にないからだ。

 もちろん、すべての電子データを保護するという方針も選択できるが、著しく業務効率を低下させる情報インフラができあがることは想像に難くない。まずはリスクアセスメントを実施して、自社にとって重要な電子データは何か把握するべきだ。

どう対策するか?

 守るべき情報が明らかになったところで、それらの情報をどのように守るか、考えなければならない。

 まず始めに実施すべき対策として考えられるのは、ファイルサーバ上でのアクセス権限(読み出し、書き込み、実行の権限)の設定だろう。そもそも情報を扱う人員が少なければ、それだけ情報漏えいの可能性は低くなると考えられる。このため、アクセス権限の設定を適切に行うことが内部情報漏えい対策の第一歩だと言える。

 しかし、この対策だけでは不十分だと言わざるを得ない。なぜなら、アクセス権限を持たない者からの不正なアクセスに対しては有効であるが、アクセス権限を与えられた利用者が、その情報をどのように取り扱ったかについて制御できないからだ。すなわち、アクセス権限を与えられた利用者がファイルサーバから読み出した電子データを紙に印刷したり、CD-Rなどの記録媒体に保存して社外に持ち出したりすることができてしまうため、そこから情報漏えいの可能性が発生するということである。

 このような状況に対しては、どのような対策が考えられるだろうか? アクセス権限の設定に加えて、印刷の権限、コピーの作成権限、記録媒体の利用権限など、より細かく「情報をどのように取り扱うことを許可するか」設定し、制御することが必要だ。

 昨今、内部情報漏えいの対策ソリューションとして、社内の電子データに対する制御をより細かく設定するための製品が注目されつつある。これらの製品は、一括管理型と分散管理型に大きく分けることができる。それぞれの特徴について見てみよう。

・一括管理型

 「内部情報漏えいを防ぐには、クライアントPCに情報を保存しなければよい」という発想に基づいた対策製品がある。ブレードPC(*1)やシン・クライアント(*2)と呼ばれる製品群である。社内ユーザーは、集中管理されたブレード上もしくはサーバ上ですべての作業を実施する。社内ユーザーが操作するクライアントは、HDDなどの(不揮発性の)電子データ保存領域を持たないため、クライアントの紛失や盗難が発生した場合でも情報が漏えいすることはない。日立製作所の情報・通信グループが、2005年度中に同グループ内のモバイル端末1万台をシン・クライアントタイプの端末に移行すると発表したことは、このタイプの対策事例として記憶に新しい。

 一括管理型の導入メリットとして、集中管理下における電子データの利用制限、PC本体の紛失盗難対策に加えて、運用管理コストの削減が挙げられる。一方デメリットとしては、導入時のコストが大きいこと、外部記憶媒体(USBメモリやFD)の利用制限が必要だという点がある。また、ブレードPCの場合には、モバイル端末の管理も別途検討しなければならない。

(*1) クライアントPCのCPU・メモリ・HDDなどの「ヒューマンインタフェース以外の部分」を「ブレード」と呼ぶ基盤に集約し、大型のラックに多数のブレードを搭載して集合させたもの

(*2) 社内ユーザーが操作するクライアントに最低限の機能しか持たせず、アプリケーションソフトやファイルなどの資源をサーバ側で集中管理させたもの

・分散管理型

 「クライアントPCでの情報の取り扱いを、より細かく制御する」ことを目的とした対策製品である。このタイプの製品では、個々のクライアントPCに対してソフトウェアをインストールし、社内ユーザーの行動を監視/制限する。先日開催されたイベント「Net & Com」でも、このタイプの製品が多数展示されていたため、ご存じの読者も多いことだろう。

 分散管理型のメリットとしては、既存環境への変更が少なく導入コストが比較的安価であること、クライアントPC上でのさまざまな作業についてユーザー単位で細かな設定が行えることが挙げられる。ただし、制御すべきクライアントPCの動作は多岐にわたること、および、各製品の得意とする分野が異なることから、製品選択の際には自社のポリシーに沿ったものか否かを入念に検討する必要がある。

 一括管理型と分散管理型のどちらを用いて対策を行うべきだろうか? どちらも一長一短あるものの、社内PCのリプレース時期が近いなどの理由がなければ、その導入コストの安さから分割管理型の製品のほうが幾分現実的なソリューションだと思える。本稿では、分散管理型の製品に注目して紹介したい。

内部情報漏えい対策に求められる機能

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ