Part3 監視のポイントをどこに置くか：「社内ブラックリスト」の作り方（1/7 ページ）

どのようにシステムを監視すればよいのだろうか？　監視対象ごとにそのポイントを解説する。

[N+I NETWORK Guide]

N+I NETWORK Guide 10月号（2004年）より転載しています

POINT 1 情報の蓄積場所とそのサービスに着目する 不正は、重要な内部情報が置かれているサーバや社員の端末で実行される。監視システムは、その不正行為が行われる場所を対象とする。 2 監視するポイントを1つに絞り、すべてのパケットをキャプチャする 重要な内部情報を蓄積した場所へのアクセス経路が複数あると、監視ポイントをその分設置しなければならず、効率が悪い。アクセス経路を1つにし、そこに監視システムを置く。 3 複合的な監視を行い、不正行為が可能になるすき間を減らす たとえば、共有ファイルの漏えいの監視は、ID／パスワードなどの監視だけでは、成りすましを防御できない。ネットワーク監視などと組み合わせるのが効果的だ。

監視対象：ネットワーク

ログの情報不足を全パケットの取得・解析で補う

鷲尾十郎（三菱スペース・ソフトウエア）

重要なデータの格納場所に注目する

　「社員」による不正行為の中で破壊やサボリを除けば、ネットワーク上で標的にされるのは情報（＝データ）である。情報は、データベースなどを使ってサーバに格納されているか個人の端末などにある。これらが、ネットワークセキュリティにおける監視の対象だ。

　また、情報がそのままそこにある状態では何も問題にならないが、業務と関係なく閲覧、消去、改ざん、持ち出しなどが行われれば不正行為になる。そして、社員がそうした行為を行えば必ず、ネットワーク上にデータの流れが発生する。そこで、ネットワーク上にその流れを監視するポイントを設けるのが有効な対策となる。

　ただし、悪意を持つ企業内部の人間による不正行為を完全に防ぐのは困難だ。とはいえ、不正行為自体は人が行うことなので、「社員」（正社員、派遣社員、関係会社のスタッフなどの社内業務従事者）に焦点を当てるのが効果的である。ここではネットワークを中心に、不正行為の抑制に関して話を進める。

社員が心理的に不正を行えない環境

　社員を対象にする対策とは、社員が心理的に不正を行えない環境を作り出すことである。まず、次のことから取り組むべきだ。

1. セキュリティポリシーを決め、業務に不要なプロトコルを使用できないようにする。
2. 不正行為を行った場合の罰則規定を設ける。
3. 罰則規定について社員への説明を行う。
4. 新入社員研修から情報セキュリティ教育を継続的に行う仕組みを確立する。

　過度な規制やおとり捜査のようなものは、社員のモチベーションに影響する。それを避けるために、不正行為は社則で禁じてあり、それを行うとどうなるのかをしっかりと説明し、情報漏えいは犯罪であることの意識を持たせることが肝要である。

　次に、不正行為を防止する機材（ツール）の導入であるが、導入の重点は、不正を働く犯罪者の心理にブレーキをかけるものを、まずそろえておきたい。

　不正行為者の心理にブレーキをかけるものとは、不正を行った人を特定（推定）できる仕組みであり、不正をしようとしても簡単に不正ができない（手間のかかる）仕掛けである。つまり、攻略に手間のかかるホストがクラッキングの対象にされにくいのと同様、不正行為をする労力と成果が見合わないような仕掛けであれば、発生率を下げることが可能だ。

　ネットワーク上の監視対象は、サーバの運用妨害か格納データに対する不正行為である。ただ、内部からの運用妨害（DoS攻撃など）はシステム管理者によってすぐにマシンが特定できるので、普通は行われない。一般的には、格納データに対する不正行為だけを監視すればよいだろう。

　ネットワーク上で不正行為を行うと、対象マシンでの操作以外は、必ずどこかに痕跡が残る。その痕跡をつかむために、ネットワーク上に監視の機材（ツール）を設置する。この監視機材は、社員の操作ログが取れるものだ。

　ただし、操作のログだけでは不正行為の明確な証拠にならない。そのため操作ログと同時に、いつ、誰が、どこに接続して、どのような内容を流したのか、もしくは持ち込んだのか（閲覧を含む）がわかる必要がある。

　たとえば、通信の最小単位であるパケットを取得し、それを再構成できる機材が必要だ。この装置は、ファイアウォールやプロキシなどの既存の設備に追加するタイプと専用の機材をネットワークに接続するものがある。

　監視機材の導入時の注意点としては、既存の装置へ追加するタイプでは、その装置本来の機能を圧迫するのでレスポンス時間などのパフォーマンスを考慮すべきということだ。

　また、専用機材によるパケット取得は、基本的にハンドシェイクを行わないので、回線にノイズが多いときや、トラフィック量がそのパケット取得性能を超えると、取りこぼす確率が高くなる。したがってネットワークのトラフィック量に応じたパケット取得性能を持つ専用機材を用意する必要がある。

　さらに、トラフィック量は、現在の測定値でなく将来のネットワーク活用を視野に入れて検討しなければ意味がない。ネットワークのトラフィック量は年々増えることはあっても減ることはない。要因として、社員の増加、ネットワークを流れる業務ファイルやコンテンツの肥大化が挙げられる（図、写真、画像、音声の利用増）。将来は、テレビ会議などの動画の積極的な活用も否定できないだろう。

　このことから、解析機能よりも根本のパケット取得性能が高い製品を採用しないと、すぐに使えなくなる。なお、監視機材は、性能の向上が図られる際に製品そのものが再設計になることが多く、現行製品のバージョンアップは期待できないので注意したい。