情報漏えい対策ツールを120%生かす運用術個人情報保護時代の情報セキュリティ(1/2 ページ)

個人情報や機密情報の漏えい対策のためのツールやシステムは、適切に運用されてこそ真価を発揮する。これらを有効に活用するためには、どのようなポイントに注意すればよいのだろうか?

» 2006年02月09日 11時00分 公開
[伊藤良孝,ITmedia]

 ファイアウォールなどの既存のセキュリティ対策製品に加え、個人情報や機密情報の漏えい対策をターゲットにした、さまざまなツールやシステムがセキュリティ市場に登場してきている。これらのツールやシステムは漫然と導入しただけでは意味がなく、適切に運用されてこそ真価を発揮する。

 情報セキュリティ分野におけるツールやシステムは、必ず何らかの形でログ(記録)を残したり、アラート(警告)を発生させたりする非常に重要な機能を持っている。特に情報漏えい対策製品群では、こうした機能の重要性はより高いものとなる。機密情報が漏えいした可能性をいち早く発見し、効果的な対策を行えるか否かは、ログやアラートをどのように利用するかにかかってくるからだ。そのためには、ツールやシステムの運用方法やそれを支える組織などを考慮することが求められる。

ログやアラートをどう扱う? 通常時の運用管理

ログの管理

 「どんなログをどれ位の期間残すか?」という問題は、従業員のPCをはじめとする多数の機器からログを収集する情報漏えい対策製品を導入・運用する際に、非常に重要な検討事項となる。

 企業のセキュリティポリシーなどによって、社員の権限が明確に定められていれば、これに違反した行為が行われた場合、当然ログとして残すことが求められる。しかし、これだけでは、権限を与えられた従業員がその権限内で不正な行為を行ったとしても、まったく記録が残らず、事故が発生した場合に調査ができないという深刻な事態となってしまう。このような事態が起こる可能性を排除するには、PCやサーバ、ネットワーク上の従業員の行動(どんな操作をしたかなど)に関するログをできるだけ詳細に記録しておくことが望ましい。

 その一方で、やみくもにログを取得すれば、その容量は膨大なものとなってしまい、ログを格納するストレージなどへの追加投資や、事故が発生した場合の調査(ログの検索など)において支障を来す可能性がある。このような事態を避けるため、どのような情報をいつまで残しておくかは、ある程度事前に決めておきたい。

アラートの取り扱い

 どんなアラートを監視し、リアルタイムに対策(行動)するのかも決めておく必要がある。理想的には違反行為を示すアラートが発生した場合、たとえそれが実質的に脅威とならないものであっても、発生した理由や原因、どんな処理対策を行ったのかを、アラートごとに記録するのが望ましい。しかし現場における運用として、アラートが発生する度に、監視員が原因となった従業員にヒアリングを行い、その内容を記録するという対応を行うのは大きな労力を必要とする。組織が大きくなればなるほど非現実的なものとなる。

 この問題に対しては、ポリシーの違反者にツールやシステム側で理由を記入させるといった機能を搭載する製品も存在する。もしこのような機能がない場合には、アラートを重要度別に細分し、クリティカルでないものに対しては「連続して5回、同様のアラートが発生したら、リアルタイムに対策を行う」など、ある程度の許容が必要となるだろう。もちろん、根本的な対策としてはエンドユーザーに対する教育が必要であることは言うまでもない。

事故発生時の対応

 非常に重要度の高いアラートが発生した場合や、明らかな情報漏えい事故が発生した場合、企業はすぐさま、その原因や経緯の調査、そして対外的な対応を行う必要がある。この初期動作次第で、その後に続く作業の量や社会における評判が大きく変化する。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ