ベネッセ情報漏えい事件から学ぶ、セキュリティ対策の“基本”とは?エバンジェリストが分かりやすく解説(3/3 ページ)

» 2014年11月18日 07時00分 公開
[池田憲弘,ITmedia]
前のページへ 1|2|3       

抑止効果を効果的に使う

 「イケてるセキュリティコンサルは、まずセグメンテーションを行うのが普通。そのファイルはそこにある必要があるのか、この人がこのデータにアクセスできる必要はあるのか……そういう点を見直し、守備範囲を狭めるのが大事。そうすれば、アクセスログをチェックする量も減るでしょう」

 辻氏はそう語り、限られたアクセス権限者を定め、彼らに物理的な制御、デバイス制御、追跡可能性、抑止効果といった対策を施すべきだと強調した。ここでいう抑止効果とは、犯罪に至る心理を防ぐ施策だ。

 「犯行に至る人の多くは、データを抜き出してもバレないと思っている。それならば、デバイスが接続された時点で内線電話をかけてあげればいい。『データの管理が厳重』だという口コミも広がるでしょう。罪の意識がないことから犯行に及ぶ人もいるが、そういう人には、犯行の報いをストレートに伝えてあげればよい。利益と報いをてんびんにかけさせれば、犯行を諦める人も出てくる」(辻氏)

 小さなことのように思う人もいるかも知れないが、これで犯行の一部を阻止できるとなれば、高価なソフトを買って対策をするよりは確かに安上がりではある。こうした「抑止効果もバカにならない」と辻氏は強調する。

photophoto データの守備範囲を絞り、その中でデバイス制御などの施策を打つことが基本だと辻氏は語った(写真=左)。捕まってもいい、という人以外には抑止効果は一定の効果があるという(写真=右)

情報漏えい対策は、標的型攻撃への対策にもなる

 こうした情報漏えいへの対策の一部は、標的型攻撃への対策にもなるというのが辻氏の考えだ。標的型攻撃によって“任意のコードを実行される”というのは、PCを好き勝手に使われるのと同じことだ。辻氏は両者には3つの共通点があるとした。

  • 情報を持ち出すことが目的であること
  • 端末を(ある程度)自由に操作できること
  • 早期の発見が望まれること

 そのため、標的型攻撃についても対策の基本は情報漏えいと同じだ。「セキュリティ対策は複数の施策を組み合わせる必要がある。繰り返しになるが、誰がどの情報にアクセスでき、そこにファイルがある必要があるのかを確認すること。こうした“地固め”を怠ると、高い製品を買うことになってしまうのです」(辻氏)

前のページへ 1|2|3       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ