企業の内外に潜む情報流出の脅威 再考が求められる対策ITmedia エンタープライズ セミナー レポート(3/3 ページ)

» 2010年12月13日 07時50分 公開
[國谷武史,ITmedia]
前のページへ 1|2|3       

 情報流出は企業や組織が直面する深刻な問題である。萩原氏と三輪氏が講演で語ったことは、いずれも従来型の情報セキュリティ対策が抱える「後手の対応」からの脱却であり、脅威に先手を打って対応していくことで、被害を最小にする「プロアクティブ」なアプローチが重要だ。最新のセキュリティ対策技術は、このアプローチを取り入れているものが多い。

脅威の予兆から先手を打つ

水澤氏 NetIQ Attachmate事業部 セールスエンジニア 水澤景太氏

 システム管理製品を手掛けるNetIQの水澤景太氏は、内部不正の兆候をシステムで自動的に検出し、管理者が迅速に対応する仕組みを提案する。

 かつては、例えば操作ログやアクセスログを常に監視して不正の兆候を発見するといった方法が推奨された。だが、多数のシステムから出力される膨大な量のログを人の目で監視することはほぼ不可能である。実際にはログを保存しておき、問題が起きれば原因の究明に利用されるという具合だ。これでは内部不正を率先して対応することが難しい。

水澤氏が提案する仕組みは、事前に不正の疑いがある行為をルールとして定義しておき、システムが社内の状況をリアルタイムに監視する。システムがその兆候を検知すると管理者に通知され、該当する従業員に確認する。同社は「Luminet」でこの仕組みを提供している。

 例えば、「営業時間外に業務システムにアクセスする」「規定回数以上のログインがある」「一定件数以上の顧客情報を利用している」といった行動を不正の兆候として定義。システムが従業員の行動を監視し、この定義に抵触するかどうかを自動的に判別する。

 水澤氏によると、Luminetを導入した金融系企業では、最初の2週間ほどで多数の警告が発せられ、管理者が確認や指摘を適宜行った。1カ月ほどで警告の発生件数は4分の1に減少し、不正をしていた従業員の特定にも成功したという。この従業員は解雇されたが、その後はLuminetが警告を発するケースがさらに減少したという。

適切なWebの利用を促す

木根氏 デジタルアーツ 関西営業所 木根義治氏

 企業のインターネット利用で課題になっているのが、ソーシャルサービスだ。仕事に有益な情報を入手したり、顧客に情報を発信したりする手段として注目されているが、ソーシャルサービスの多くが個人利用を想定しており、企業としての適切な利用ルールが確立されていない。

その結果、従業員が業務時間中に私的に利用して、重要な情報を公開してしまうリスクがある。またソーシャルサービスでは不正プログラムに感染する被害も多く、従業員の端末から機密情報が盗み取られる危険もある。ソーシャルサービスには、内部と外部による脅威がつきまとう。

 デジタルアーツの木根義治氏は、URLフィルタリング技術を活用することで、ソーシャルサービスの適切な利用を促すことができると話す。同社の「i-Filter」ではカテゴリ単位だけでなく、サービスごとにその利用を制限することができる。例えば、あるサービスでは閲覧のみを許可し、書き込みは禁止するというものだ。また特定の言葉を指定することで、その言葉を含む書き込みだけを禁止するという設定も行える。

 木根氏は、「利用方法に制約を設けることで従業員の誤った利用を抑止しつつも、仕事に必要な利用を認めるといったルール作りが可能になるだろう」と話している。

従業員に「気付き」を与える

吉田氏 トレンドマイクロ マーケティング本部エンタープライズマーケティング部 シニア・プロダクトマーケティング・マネージャ 吉田睦氏

 情報流出を抑止するには、従業員が常に意識することが効果的であるとされる。だが研修会などの場だけでは、すべての従業員にそれを徹底してもらうようになるまでに多くの時間を費やしてしまう。

 トレンドマイクロの吉田睦氏は、「どのような行為が情報流出につながるのかを、リアルタイムに従業員に知らせることで、気付きを促すことができるだろう」と話す。その仕組みを提供するのが、内部からの情報流出を防ぐ「Data Loss Prevention」(DLP)と呼ばれるソリューションである。

 DLPは、どのようなデータが重要であるか、どのような行為が情報流出につながるのかといった条件を定義し、実際にそのような行為をシステムで検出すると、データが外部に流出するのをブロックする。同社の製品には、従業員にブロックをした理由を説明する機能もある。情報が流出してしまうタイミングは、従業員にその危険性を理解してもらえる機会にもなる。DLPは情報流出の「防止」「抑止」「記録」「教育」をバランス良く実施していける基盤になるという。

 一方、インターネットによる外部脅威に対しては「Webレピュテーション」という仕組みが有効という。Webレピュテーションは、ユーザーから提供される不正サイトの情報をデータベース化し、ほかのユーザーがデータベースを参照することで、不正サイトへの接続を回避する仕組みだ。

 不正サイトへの接続を完全にブロックする手段の実現は非常に難しいが、世界中から提供される情報を活用する仕組みによって、インターネットによる外部脅威の危険性を可能な限り排除していくという。

このセッションに興味のある方にはこちらのホワイトペーパーがおすすめです

IT管理者が知っておくべき より安心できるWebアクセスへの対策

不正プログラムの経路として90%以上がインターネットである今日、URLフィルターだけでWebセキュリティ・ソリューションは成り得るのか?

ホワイトペーパーのダウンロードページへ (TechTargetジャパン)

第三者が証明する「安全性」

大塚氏 日本ベリサイン SSL製品本部ダイレクトマーケティング部 マネージャー 大塚雅弘氏

 情報流出の危険は、企業だけでなくその顧客が直接狙われるケースも増えている。その代表例であるフィッシング詐欺は、攻撃者が実在する企業や組織になりすまして顧客をだまし、詐欺サイトに誘導して情報を盗み出す。詐欺サイトは正規サイトと似せて作られ、顧客が一見しただけでは判別が難しい。ソーシャルエンジニアリングと呼ばれる顧客の心理を悪用した攻撃も多い。

 フィッシング詐欺やソーシャルエンジニアリングによって、ブランドが悪用された企業や組織にも風評などの被害が発生する。こうした脅威から顧客や自社を保護にするには、どのような方法があるのか。日本ベリサインの大塚雅弘氏は、Webサイトが正規のものであること、また、安全であることがすぐに分かる仕組みを提案する。

 SSLサーバ証明書を発行する同社は、証明書を発行する際にWebサイト運営者の身元を厳正に審査している。SSLサーバ証明書を導入しているWebサイトを閲覧すると、同社の認証シールや「鍵」マークのアイコンが表示されることでもおなじみだ。また、その強化版であるEV SSL証明書を導入したWebサイトでは、対応するWebブラウザのアドレスバーが正規サイトであること証明する緑色に自動的に変化する。

 同社では今後、EV SSL証明書にマルウェア感染の危険がないことを表示する機能や、検索サービスの結果画面に「VeriSign Trusted」というシールを表示する機能も提供していくという。こうした仕組みを利用することで、企業は顧客にWebサイトが安全であることを知らせることができる。

 大塚氏は、「攻撃に備える対策だけでなく、自社のセキュリティ状況を顧客に見てもらうアプローチも検討していただきたい」と話している。

このセッションに興味のある方にはこちらのホワイトペーパーがおすすめです

情報漏えい対策最新事情〜外部・内部のセキュリティ 脅威への対処策〜

東京・大阪で開催され多くの聴衆を集めたITmediaセキュリティイベントの講演資料 を特別公開。 企業を脅かす情報漏えいリスクと闘うすべてのシステム担当者は一読されたい。

ホワイトペーパーのダウンロードページへ (TechTargetジャパン)

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら

前のページへ 1|2|3       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ