PART4 情報を持ち出させない「抑止力」を考える「性悪説」による機密・個人情報漏えい対策 第2部(2/3 ページ)

» 2005年03月02日 09時00分 公開
[園田法子、橘田明雄、卯城大士(チェック・ポイント・ソフトウェア・テクノロジーズ),N+I NETWORK Guide]

 現在のシステムに対する可能なかぎりの改善に加え、セキュリティポリシー全体の見直しのほか、業務担当や業務の流れの変更にまで関係する場合もあるだろう。従来までのITインフラや業務システムは、予算をはじめセキュリティに関する考慮の優先順位が低い条件で構築されてきたものが多い。また、システムの複雑さが増すにつれ、安全性や信頼性は低下し、管理ミスを誘発させ、情報を利用する立場においても操作ミスや思わぬ情報にたどり着くこともあるだろう。

 シングルサインオンは、双方にとって有益である。加えるなら、個人情報と、アクセスの場所といったネットワークレベルの情報を加味した動的な認証判断が可能なシステムとアプリケーションの統合は、セキュリティの強化と作業の簡素化が期待できる。

 理想的なシステムとしては、最小限のアクセス条件で最大の生産性を実現し、セキュリティの危機管理や可用性に対応したものがあればよい。

 現在のシステムの稼働年数によっては、セキュリティに優先度をおいた生産性とリスクの最小限化を両立するようなITシステムに対し、効果的な投資を行うことがシステム抑止の解決策である。

システム面における監視

 前章までに述べた検知・防止の立場で、情報のアクセスや利用がどのようになされているかをシステムインフラの側で把握しておくことは、後述する人的要因の側面における監視の役割としても重要である。

 再確認となるが、内部情報漏えいの検知・防止の施策とは、権限者の行動履歴、入室、システムへのログイン、情報へのアクセスと利用、ログアウト、退出などの履歴収集、異常または不自然な行動の検知である。また、機密性の特に高い重要なサーバやバックアップデータが保存されたテープ、ディスクなどの物理的な監視については、監視カメラの設置も有効な手段である。

 システム側でのポイントは、不正な行動をとる可能性に対し、次の2つのことを意識させることである。

  • すきを見せない
  • 安易な行動に移らないようなムードを作る

 セキュリティシステムの監査や、分析レポートを定期的に社内へ公開することも1つの案である。

外部資源の利用について

 多くの組織で現在、外部のデータセンターの資源を利用している。停電や地震などの対災害性には優れたインフラであるが、サーバやネットワークが共有ネットワークで利用されている場合は、ほかの利用客がアクセスできる環境かもしれない。入出管理のレベルから、運用ネットワークに至るまで、委託するデータセンターのアクセス制御の実態を再確認しておくべきである。

「人の意識」を変えることで情報の漏えいを防ぐ

 こうしたセキュリティの実施を考えたとき、システムインフラ以上に重要で大きな要素はやはり「人」の問題である。システム側で与えられたアクセス権を正当に所有する人の行動については、対策の限界に加え、その対策が効率面で逆効果になる場合もある。人が情報を作り、人がシステムにかかわり、人が情報を利用するからだ。ここでは、アナログ的で不安定な人間の心がどのように働くかが最大のポイントとなることが、おわかりいただけるだろうか。

 では、正当なアクセス権を持つ人が、不正アクセスにかかわってしまう原因を「人の意識」の面から考えてみよう。これは、情報に囲まれた環境での意図的な行動と、無意識の行動を含めた多面的な意識である。

情報セキュリティ全般の意識

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ