特集
» 2005年02月28日 11時00分 公開

Part3 監視のポイントをどこに置くか「社内ブラックリスト」の作り方(2/7 ページ)

[N+I NETWORK Guide]

すべてのパケットを監視する

 不正を行う者は、システム管理者が許可したプロトコル以外のものを使用する場合があるので、監視するデータはすべてのパケットが対象になる。パケットさえしっかり取得できれば、元の通信状態への復元が現時点で未対応であっても、公開されているプロトコルであれば、機能追加で対応できる。その意味でも、取得性能の高さが重要である。

 取得性能とともに議論の対象になるのが、取得したデータの保管期間である。取得したデータは、当然ながら個人情報を含んでいるので、2005年4月1日に施行される個人情報保護法の対象データになる。

 しかし、これらのデータは保存することに価値があるのではなく、自社のセキュリティポリシーに従い一定期間で解析し、問題のある社員を処罰するのに活用するのが目的だ。問題がなければデータを消去する。解析期間の2倍程度の保存が1つの目安だろう。

 ただし、問題が発生したときに、過去に遡って不正行為の確認を望むのであれば、データの長期保存という選択もある。この場合は、データ自体の漏えいに注意するとともに、証拠性を求めるのであれば改ざんにも気をつける必要がある。そのため取得したデータは、暗号化などで保護しておくのが望ましい。

 しかし、このようにログ+内容の監視を行っても内部の不正行為がなくなるわけではない。企業の業務形態に合わせた個別の対策を講じて強化していくのが次の段階になる。

IDSによる内部犯行の防御

 監視対象である重要なデータへの改ざん、消去、持ち出しといった攻撃に対処する必要がある。これらの対策としては、IDSの設置が効果的だ。IDSは、外部の攻撃だけでなく内部の犯行にも有効なツールである。

 サーバへの経路にスイッチを増設し、ポートミラーリング機能を使ってIDSサーバにパケットを流す。同時にサーバ自体にホスト型IDSをインストールし、改ざん対策などに利用する。

 サーバ対策の後は、ネットワークの末端に向けて順次対策を行っていく。1つ目は、個人の端末である。ネットワーク利用による不正行為では、個人の端末を勝手に企業ネットワークにつないでデータを持ち出すことが多い。そのための対策として、持ち込み端末の接続検出とセッション遮断が可能なツールの導入が望ましい。2つ目は、重要ファイルを特定の人しか閲覧できないようにしたり、印刷・コピーを制限できるツールの導入である。これにより、うっかりミスによる重要ファイルの誤配信や持ち出しを防ぐことができる。内部情報の漏えいでは、故意よりも、誤配信やサーバの設定ミスなどによる被害のほうが多い。これらのツールは、この目的以外にセキュリティポリシーに合わせてルールを設定して運用すれば、セキュリティポリシーの監視ツールとしても使える。

 人が介在している以上、完全な対策ツールというものはない。ログ取得では不正行為を未然に防げず、ファイル保護ツールは内部犯行を完全に食い止めることができない。しかし、ツールをうまく組み合わせ、不正行為が行えるすき間をできるだけふさぐことが肝要である。すき間が狭まれば狭まるほど不正を行う心理にブレーキがかかり、不正行為を未然に防ぐことができる。

企業ネットワークに配置する2つの監視ポイント

 社員による不正行為の監視では、「社内LANからインターネットへ」と「社内LAN」の2つに監視ポイントを設置する必要がある。

 インターネットへの通信では、DMZとファイアウォールの構築後(社内からインターネットへは通信不可、社内からDMZへは許可したプロトコルだけに設定)、それらにパケット取得装置を加えて監視ポイントとする。ここでは、データの流れをすべて監視し、内部通信の実態を把握することで不正行為者の特定を行う。そのため、パケット取得装置は社外・社内のデータが流れる中枢に配置する(図1)。通常は、ネットワークにスイッチを増設しポートミラーリング機能を使ってデータを取得するのが一般的だ。ただし、ネットワーク上のトラフィック量と装置のパケット取得性能の確認が必要である。

図1 図1■ログ(パケット)取得装置の設置例

 社内LANでは、重要なデータサーバを中心に、データベースのセキュリティ機能を利用するのと同時に、ネットワーク型IDSを設ける。ここが、社内LANの監視ポイントになる。さらに、重要なデータサーバには、ホスト型IDSを追加し改ざんに備える。

 これに加え、大規模組織ではネットワークにおいても、オフィスと同様に部門やプロジェクトで区切って社員の出入りを規制する必要がある。部門やプロジェクトごとにネットワークが分割されていれば、ネットワークを越える通信に制限を加えることが可能だ。また、アクセスできたとしても、ネットワークを越える通信のみを監視すればよい。今後、ネットワークをセグメントで区切って小さな単位で管理することが重要になるだろう。

監視のPoint

1.「社内LANからインターネットへの出口」と「社内LAN内」の2カ所に監視ポイントの関所を設ける
2.社外、社内のデータが流れる中枢に、パケット取得装置を設置する
3.重要なデータサーバへの経路にネットワーク型IDSを設ける。ファイル利用者を限定し、コピー・印刷を制限する

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ