PART3 「漏えい検知／犯行のトレース」の実施方法：「性悪説」による機密・個人情報漏えい対策 第2部（4/4 ページ）

[園田法子、橘田明雄、卯城大士（チェック・ポイント・ソフトウェア・テクノロジーズ），N+I NETWORK Guide]

　万が一、不正アクセスが発生してしまった場合、誰が、どこから、どのような不正アクセスを行ったのかを特定する必要がある。まず、不正アクセスを行ったユーザーを特定し、そのユーザーに対して何らかの対応を行わなければならない。また、攻撃が行われたということは、システムのどこかに攻撃を許してしまう何らかの隙があったということでもある。その隙をそのままにしておいたなら、別の攻撃者によってそこを再度利用されてしまう可能性があるのだ。したがって、隙が何であるのかを見つけ、そこを埋めるためにシステムの見直しをしなければならない。

　不正アクセスのトレースに有効なのは、やはりログである。たとえば、入退室のログがあればシステムにアクセスしたユーザーを特定できたり、ネットワークのログを使えばシステムと通信を行ったユーザーを特定することができる。そのためには、信頼のおけるログが確実に取得されている必要があるのだ。

　情報漏えいが発生した場合のトレースの手段として、データ中に「電子透かし」を利用するという方法がある。電子透かしとは、データ中にその利用に支障がない範囲で、特定の情報を埋め込んでおくというものだ。ユーザーがデータにアクセスしようとすると、システムはそのデータにユーザーを識別するための電子透かしを埋め込み、ユーザーに送信するのである。これにより、たとえこのデータが外部に送られてしまったとしても、電子透かしの情報から情報漏えいを行ったユーザーを特定できるというわけだ。

　また、物理的な物の動きの追跡に有効な手段として注目されているのが、「RFID（Radio Frequency IDentification）」タグである。RFIDは、小型のICチップであり、無線を使ってチップ上のデータを読み込むことができる。各所にセンサーが必要だが、重要な機器にRFIDタグをつけることで、その機器がどのように動いたのかを追跡可能となる。何にでもRFIDタグをつけようという話もあるが、利用方法によっては、個人のプライバシーの侵害に繋がるため問題視する見方もある。

　さらに、より詳細な攻撃の手法を調べる手段として、「ハニーポット」と呼ばれるツールが使用されることがある。これは、攻撃可能であると見せかけた「おとり」のマシンを用意しておくものだ。攻撃者は、おとりであるとは知らずに、ハニーポットを仕掛けたマシンに攻撃を開始する。すると、このマシンは、攻撃者からの攻撃の一部始終を記録するのである。これにより、攻撃者がどこから、どのような手法でシステムに侵入したのかを詳細に調査することができるのだ（図6）。

図6■ハニーポットの仕組み

　ただし、ハニーポットは、大変危険なツールでもある。おとりとはいえ、攻撃者にマシンへのアクセスを許してしまうのだ。ハニーポットを仕掛けたマシン自体は大丈夫かもしれないが、そこからほかのマシンへの攻撃の踏み台に使用されないように十分に注意する必要がある。

起こってしまった後の対応はどうすればよいか

　では、不正アクセスが行われていることを発見したら、何をしなければならないのだろうか。まず行うべきことは、不正アクセスの事実の確認である。そして、不正アクセスの内容によるが、これ以上被害が広がらないように、システムやサービスを停止または隔離するのだ。サービスを停止することは、企業としての運営にかかわる重要な事項である。したがって、権限を持った責任者との連携も必要になる。

　外部への影響を排除した後、前節で述べたような不正アクセスの詳細を調査していくことになる。ただし、このとき、調査に先立ち行っておくべき作業がある。それは、現在のシステムのスナップショットを撮っておくことだ。不正アクセスが行われる場合、システム中に攻撃の足跡が残されていることが多い。これらの情報を含め、不正アクセスの証拠を確実に残しておく必要があるのだ。

　さらに、不正アクセスを行ったユーザーが特定できた場合、そのユーザーに対する対応を行わなければならない。不正アクセスがウイルスやワームに感染したことによって本人の無意識のうちに行われたものであれば、そのPCの駆除などの対策を行わなければならない。また、何らかのミスによって、結果として不正アクセスが行われたのであれば、ミスが起こらないような操作の確認や、ミスによる影響を受けないようなシステムの根本的な見直しも必要であろう。

　もし、不正アクセスが意図的に行われたのであれば、より厳しい対策が必要だ。場合によっては、人事的な制裁を加える必要があるかもしれない。また、より重大な問題に発展した場合には、法的な手段に訴えることも視野に入れておきたい。

　さらに、情報漏えいなどの重大な問題が発生した場合、企業内の対応だけでは済まされないこともある。万が一、漏えいした情報がP2Pネットワークなどに流出してしまった場合、情報の回収は不可能となる。原因の追及、影響範囲などを調査し、影響のあるユーザーや各種関連機関への連絡・対策を行わなければならない。できるだけ早く確実な情報を伝えることが、企業として求められる。きちんと対応できるかどうかによって、その企業に対するイメージも変わってくる。重大な問題が発生したことで企業イメージの低下が起こるのは仕方のないことなのだが、ここでいいかげんな対応をすると、さらにイメージを低下させてしまうことになる。逆に、きちんとした対応ができれば、多少なりとも企業イメージを回復させることができるだろう。

　発生した不正アクセスへの対応が完了した後、システムの復旧作業が必要になる場合がある。そのシステムの普及において重要なのが、バックアップだ。データの改ざん・破壊が行われた場合でも、確実に元の状態に戻すことができるよう、定期的にバックアップを取っておく。もちろん、バックアップされたデータ自体の管理を行うことも重要だ。

　組織としての取り組みは、不正アクセスが発生した場合でも確実な対応が行えるよう、危機管理マニュアルを策定しておくとよい。不正アクセスによってどのような危機が発生しうるのか、その危機に対してどのような対応が取れるのかをまとめておくのだ。

　不正アクセスに対する対応は、情報セキュリティ部門だけで行えるものではない。企業そして顧客の利益を守るために、企業として責任を取れる立場の人を加え、企業全体としての対策を考えなければいけないのである。