PART2 内部からの「不正アクセス」を防ぐ：「性悪説」による機密・個人情報漏えい対策 第2部（2/6 ページ）

[園田法子、橘田明雄、卯城大士（チェック・ポイント・ソフトウェア・テクノロジーズ），N+I NETWORK Guide]

　社員が円滑に業務を行うには、業務で必要となるデータにアクセスできなくてはならない。このため社員には、多くのリソースへのアクセス権限が付与されていることだろう。本来、社員へのアクセス権限は、業務に必要なデータのみにするよう、厳密に設定されていなければならない。しかし、同じ部署にいる社員であれば同等のアクセス権限を付与するといったように、厳密な管理を行っているところは少ない。当然、重要度や機密度が低く、汎用的な情報については、厳密なアクセス権限を設ける必要はない。しかし、顧客データなどのように、データの重要性が増せば増すほど、それらデータへのアクセス権限は厳しく設定されなくてはならない（図2）。

図2■データの重要度とアクセス可能なユーザー数

　重要データに対するアクセス権限を設定する場合にはまず、アクセスできるユーザー数を制限するとよい。重要度が上がれば上がるほど、アクセスできるユーザーの数は本来、減らさなくてはならない。

　しかし、顧客データの量が膨大である場合、それら情報に対するアクセス権をある程度の人数に付与しなくてはならない。その場合は、顧客データを地域ごとなどに細かく分割し、ユーザーがアクセスできる情報を特定の部分のみに制限し、全データにアクセスできないようにする。また、各ユーザーがアクセスできる時間帯も制限し、業務時間以外はそれらデータにアクセスできないようにすることも重要である。

　さらに、どのユーザーがいつアクセスし、それらデータに対しどのような変更をしたかを明確に記録するために、「アカウント・ログ」を残すことが大切だ。正確に、どのユーザーがいつアクセスしたかを判断するためには、共有アカウントではなく、各ユーザーに対する個別アカウントを設定するとよい。このほか、顧客情報などのデータにアクセスする端末には、フロッピーディスクやUSBメモリなどの記憶媒体を利用できないよう、コンピュータの環境も整備しなくてはならない。

　これまでに起きている漏えい事件のほとんどで、内部の人間による犯行が疑われている。これを防ぐためには、これまであいまいにしていたアクセス権限を再度見直し、適切で厳密なアクセス権限と利用環境を整備し直すことが必要である。

ネットワーク上にあるコンピュータの管理強化

　社内には、社員が使用している複数のコンピュータが点在している。これらコンピュータは、社内ネットワークに接続され、企業内にあるさまざまなデータにアクセスすることが可能であるにもかかわらず、セキュリティ的に無防備な状態で利用されていることが多い。内部でのセキュリティを強化するには、普段利用しているコンピュータについてもセキュリティを強化する必要がある（図3）。

図3■コンピュータの管理強化

　具体的には、ユーザーが少しでもコンピュータから離れる際、他者がそれを利用できないようにパスワードなどによるアクセス保護をかけるのだ。多くのユーザーは、コンピュータの電源を入れ、OSを起動する際にユーザー名とパスワードによる認証を行っている。しかし、OS起動後にミーティングなどで席を離れる際に、ほかの人が利用できないようスクリーンセーバによるユーザーIDとパスワード保護を行っているだろうか。こうした取り組みも重要なのだ。

　また、OS起動時に認証を行うだけでなく、コンピュータのブート時にBIOSレベルで認証をかければ、さらにコンピュータを強固に守ることが可能になる。これに加え、万が一、ハードディスクが盗まれても、中にある情報を取得できないようにハードディスク自体を暗号化しておけば、より強力にデータを保護することができるだろう。

　このほか、忘れてはいけないのは、廃棄するコンピュータの情報だ。社内で利用していたコンピュータを廃棄する際には必ず、ハードディスク消去ツールなどで、コンピュータ内のすべての情報を消去することも忘れてはならない。コンピュータの管理ではないが、重要情報が印刷された書類についても、廃棄する場合にはシュレッダにかけるなどして、外部に情報が漏れないようにすることが必要だ。

　このように、企業内で利用するコンピュータについては、本人以外は利用できないよう、さまざまなレベルでセキュリティを設定するように社員を教育する。さらに、廃棄コンピュータを含むすべてのコンピュータ上にある情報に関しても、外部に漏れないよう徹底的に管理を行うことが必要である。

認証システムを使ったアクセス管理