Part3 監視のポイントをどこに置くか：「社内ブラックリスト」の作り方（6/7 ページ）

[N+I NETWORK Guide]

監視の対象：ファイル共有

ファイルの世代管理の有無でデータの取得内容が異なる

佐藤 敦（三菱スペース・ソフトウエア）

　ほとんどの企業で、社内ネットワーク上にファイルサーバを置き、ファイルを共有している。その多くは、社員に配布される端末の大半がWindowsマシンであることから、Windowsネットワーク共有である。共有しているファイルには当然、漏えいしては困る情報が含まれている。したがって、ファイルサーバ上のどのファイルに、いつ誰がどのようにアクセスしたのかを監視し、記録することが必要だ。

　ファイルの世代管理が適切に行われていれば、その内容は後から確認できるので、いつ、どのユーザーがどこの端末から接続し、何のファイルに対してどのような行動をとったのかがわかればよい。ファイルの世代管理がなされていなければ、やり取りされたファイルの内容についても記録する必要がある。同じファイルであっても、世代によって書かれている内容が異なるからだ。

　たとえば、顧客リストが漏えいしたときのファイルサーバ上での操作を見てみよう。

　社員Aによって顧客リストのひな型がファイルサーバ上にアップロードされた。この時点では、顧客情報は書かれていない。このファイルに、社員Bと社員Cがアクセスした。次に、社員Dがファイルに顧客情報を書き込んだ。そして、そのファイルに社員Eがアクセスした。

　このようなことがわかれば、情報を持ち出した可能性があるのは、社員Dと社員Eに限定できる。しかし、ファイルの世代管理が行えていないと、社員Dが変更した後のファイルが残っているだけなので、いつ誰がアクセスしたかというだけの情報では、社員Aから社員Eまでの誰かであるというところまでしか絞り込めない。もちろん、誰が持ち出したか皆目わからない状況よりは格段によくなっているので、アクセスログは記録しておくべきだ。

　ところで、この例では結局、犯人を1人に絞ることができない。社員Aがファイルを変更した後、誰もアクセスしていなければ社員Aに特定できるが、通常は、このように犯人を決めることはできないのだ。つまり、ファイル共有における監視では、疑わしい社員をリストアップしたイエローリストしか作成できないのが普通である。なお、NFSサーバやFTPサーバ、Webサーバなどによるファイル共有についても、同様の監視を行う必要がある。

監視のPoint 1.ファイルの世代管理が行われていれば、アクセスログの取得だけでよい。 2.ファイルの世代管理がない場合は、やり取りされたファイルの内容も記録する。 3.NFS、FTP、Webサーバによるファイル共有についてもアクセスログを取る。

監視の対象：データベースサービス

ネットワーク監視によりユーザーの行動を把握

佐藤 敦（三菱スペース・ソフトウエア）

　企業内の情報（データ）の多くは、データベースで管理されている。その情報は通常、ネットワーク越しにデータベースマネージメントシステムに対して要求することで、受け取ることができる。

　もちろん、その要求には、ユーザー名／パスワードによる認証や、端末IPアドレスによる認証などが必要になるが、社内ネットワークであると比較的簡単にハッキングされてしまう。その危険性が非常に高い。

　これは、次項のTelnetと同様、社内ネットワークは安全であるという前提に立って設計されているからである。

　情報漏えいの大半が社外からの攻撃ではなく、内部社員によるものという認識が広まったのは、つい最近のことだ。稼働中のデータベースシステムの多くは、そうした認識が持たれる以前に構築されている。そのため、データベースの情報を防御するには、データベースとつながるネットワークの監視が不可欠になるのだ。

　そのネットワーク監視によって、どのユーザーがいつ、どこの端末からデータベースサーバに接続し、何のデータに対しどのような行動をとったのかがわかるようにしておく。

　なお、データベースサービスの監視も、ファイル共有やTelnetと同様、疑わしい社員をリストアップしたイエローリストしか作成できないのが普通である。

監視のPoint 1.データベースのデータは、社内ネットワークからハッキングされやすい。 2.データベースにつながるネットワークの監視が不可欠。 3.ネットワーク監視により、ユーザーの行動を記録する。