セキュリティリスクを把握し、盤石なセキュリティの実現へセキュリティポリシーだけでは回避できない

セキュリティ意識が高まっているにもかかわらず、情報漏えい事故は後を絶たない。事故を防ぐためには、社内外を問わず、どの情報がどこに保存されているのかということを可視化する必要がある。

» 2007年11月12日 10時00分 公開
[PR/ITmedia]
PR

個人情報の保存がセキュリティリスクに

 2005年4月に「個人情報保護法」が全面施行されたことを受け、企業のセキュリティ意識は急速に高まった。最近では、J-SOXを見据えた内部統制の強化やコンプライアンスへの対応などが急務とされており、セキュリティポリシーを策定してセキュリティマネジメントを実現しようという企業も多くみられるようになった。

 このようにセキュリティ意識は高まっているが、未だに情報漏えい事件は後を絶たない。2007年9月20日、某大手通信業者は顧客情報3万1096件に加え、グループ会社の社員および元社員の情報1万193件がP2Pソフトウェアのネットワーク上に流出したことを公表した。流出元は、販売企画業務を担当していた元社員の自宅PCだった。

 もちろん、同社はセキュリティ対策を施しており、業務関連ファイルの社外への持ち出しや顧客情報へのアクセス制限などを行ってきた。それでも、情報の流出は起きた。同社は「ファイル交換ソフトの起動禁止および会社情報の検査・削除を行うツールを配布し、<1>自宅PCにおける会社情報の保管禁止、<2>ファイル交換ソフトの利用禁止の徹底」を行い、再発防止のために最大限の努力を行うとしている。個人情報に限らず、企業機密や研究情報などの情報漏えい事故は多いが、この事故によってブランドイメージが傷つくだけにとどまらず、実害が生じるケースも出始めている。

 この事例からも分かるように、個人情報をクライアントPCに保存しているだけで、セキュリティリスクは急激に高まる。しかし、実際にどのクライアントPCにどの情報が保存されているかという現状を把握しようとすると、非常に難しい。

個人情報の棚卸しを支援

 クオリティでは、「個人情報ファイル探査ツールeX PDS」を提供している。これは、氏名、住所、電話番号、メールアドレスなどの個人情報探査項目を手がかりに、クライアントPC内に保存されている「個人情報データの含まれるファイル」を探査し、ファイル名、保存場所、個人情報のボリュームなどを収集するというもの。実態を可視化することによって、個人情報の棚卸しを支援するソフトウェアである。探査対象としているファイル形式は、46種類にも及ぶ。

 2007年9月26日には、eX PDSの最新版「eX PDS Ver.2」が提供されている。eX PDS Ver.2では、クライアント/サーバシステムに変更されており、これまでメールで送信していた個人情報ファイル調査結果をクライアントPCから直接送信できるようになった。また個人情報ファイル検索の条件設定や検索の実行、データ収集、確認・分析などをコンソールで行えるようになるなど、大幅な機能強化が図られている。

セキュリティレベルの現状把握を実現

 また、収集した個人情報ファイルのデータを「レポーティングツールeX Report」(オプション)と連携させることで、探査結果をWebコンソールから確認し、そのデータをPDF出力することも可能だ。個人情報を含んだファイルの所有者一覧なども、ここに表示できる。

 eX Reportは、eX PDSのみならず「IT資産管理ツールQAW/QND」、「クライアント操作ログ取得ツールeX CLT」で収集したログデータを基に、社内のITセキュリティ状況をレポートする。数値と見やすい各種グラフによって、月別の推移や社内のセキュリティレベルの現状把握なども容易に行えるようになる。

 つまりeX PDS、eX Reportを活用することで、セキュリティのPDCAサイクルの「チェック」を強化できるということになる。

 来年初頭には、機密情報ファイルの検索まで対応する「eX PDS Ver.3」や、インテル アクティブ・マネジメント・テクノロジー(インテル AMT)2.5に対応した「QND Ver.9.4」も提供される予定だ。インテル AMTに対応することで、PCの資産管理の課題となっていた電源が切れているPCのハードウェア情報(DMI相当)の収集や、ハードディスク障害でハードディスクを交換した際のクライアントPCの継続的な資産管理を実現できる。

自宅PCまでも監査するフェーズに

 社内PCの管理はもちろんだが、最近の情報漏えい事件をみると、自宅PCまでも監査するフェーズに入りつつあると考えて間違いないだろう。企業が管理していない私物PCからの情報漏えい事故が、あまりにも多いからだ。社員の安全を守る意味でも、自宅PCを含めた対策が必須となりつつある。

 その場合、PC管理をSaaS方式で提供する「ASP型 IT資産管理サービス ISM(IT Security Manager)」を活用するといいだろう。インターネットとの親和性が高く、付加価値を高めることができるとして、ISPもISMのエンジンを採用し、新しいサービスを構築し始めている。

 情報漏えいを防ぐためには、より広範囲な対策が必要となる。セキュリティリスクを熟知しているクオリティによるソリューション提案であれば、社内外を問わず盤石な体制を構築できるだろう。

ホワイトペーパーダウンロード

IT統制を実現するクライアント管理手法とは?

内部統制実現の「要」となるクライアントPC管理について、活用ノウハウを含めたソリューションを紹介する。


内部統制(IT統制)への対応を直前に控え、各企業は実運用の検討段階に移行してきていることだろう。

内部統制(IT統制)実現の「要(かなめ)」となるクライアント管理について、活用ノウハウを含めた管理手法と、徹底管理を可能にする最新ソリューションを紹介する。


TechTargetジャパン ホワイトペーパー ダウンロードセンターにて入手できます。


Copyright © ITmedia, Inc. All Rights Reserved.


提供:クオリティ株式会社
企画:アイティメディア営業本部/制作:ITmedia エンタープライズ編集部/掲載内容有効期限:2007年12月1日