Part5-2 インベントリツールなどを導入しクライアント管理を徹底する「社内ブラックリスト」の作り方(1/2 ページ)

A信販がネットワークセキュリティについて取り組みを始めたのは、6年ほど前。2年ほど前から内部情報漏えい対策が最重要課題となっていた。A信販の行ったセキュリティ対策を見てみよう。

» 2005年03月16日 08時00分 公開
[熊崎裕一郎(ITサービス),N+I NETWORK Guide]

N+I NETWORK Guide 10月号(2004年)より転載しています

POINT
1 「ネットワーク」「サーバ」「クライアント」に分け、段階的な情報漏えい対策を実施
インターネット経由の情報漏えい対策の次に、クライアントPCレベルでの対策に着手。ただし、台数が多いことと、ユーザーのセキュリティレベルに開きがあるので、苦労した。
2 第2段階は、クライアントPCからの情報漏えい対策
秘文が特徴とする、スピーディな導入や業務の状況に応じたきめ細かい機能設定、今後の拡張を考慮して導入。懸案の問題を解決した。
3 クライアントPCの動作状況ログの取得を検討
クライアントPC向けの管理として、インベントリツールを導入したが、今後は、記録メディアやPCの盗難に備えるため、暗号技術の導入やクライアントPCの動作状況ログを取得するシステムの導入を検討している。

2年前に始まった情報漏えい対策

 A信販(社員約750名、全国に約50拠点)がネットワークセキュリティについて取り組みを始めたのは、6年ほど前になる。

 最初は、社員が自主的に管理していたクライアントPCのウイルス対策を、全社で統合管理するというものだった。そこから、サーバのウイルス対策、ファイアウォールのリプレースやIDSの設置などを次々と進めていき、セキュリティ対策の重点目標も、クライアントウイルス対策からインターネット経由の不正侵入対策へ、そして2年ほど前からは内部情報漏えい対策が最重要課題となっていた。

 2年ほど前の時点でA信販は、インターネットからの不正侵入に対して十分なレベルのセキュリティ対策を講じていた。その一方、従業員による情報、特に電子ファイルの取り扱いについては、取り扱い規定の策定と従業員教育などを実施していたものの、システム面での対応は何も行っていない状況であった。当時、情報漏えい事件の報道が目立つようになっており、A信販でもその対策が必要という認識が高まった結果、情報システム部門を中心としてプロジェクトが始まった。この時点では、社員の不正行為までは考慮していない。

 初めに、セキュリティ対策を「ネットワーク」「サーバ」「クライアント」と大きく3つに分けたうえで、ネットワーク、特にインターネットの出入り口とサーバ側でできる対策に着手した。つまり、インターネット経由の情報漏えいを防御することを第一の目標としたのだ。このときのセキュリティ対策は、次のとおりである。

図1 図1■初期の情報漏えい対策

Webコンテンツフィルタリングツールの導入

 各種インターネット掲示板への何気ない書き込みや、情報収集のために悪意を持って作られたページなどを経由する情報漏えいを防ぐため、Webコンテンツフィルタリングツールを導入した。この目的を達成するために、Webサイトの閲覧とアップロードを個別に規制し、アップロードを必要最小限とする設定にした。これの副次的な効果として、仕事とは関係ないWebページへのアクセスを制限したため、業務効率が向上したことと、インターネット回線の負荷が軽くなったことが挙げられる。

送信電子メールの全文保存およびコンテンツチェック

 社員が送信したメールの中に機密情報が含まれていないかどうかをチェックし、万一、機密情報が含まれていると判断された場合、メール送信を一時保留するコンテンツチェックシステムを導入した。しかし、コンテンツチェックは完全ではなく、網をかいくぐって送信されてしまうことも想定される。そのため、送信メールはすべて全文保存をすることとし、その仕組みを周知徹底することで抑止効果を狙った。

第2段階はクライアントPC対策

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ