検索
特集

内部情報漏えい対策のポイントは「抑止」と「防止」にあり個人情報保護時代の情報セキュリティ(2/2 ページ)

悪意ある行為やミスによって発生する内部情報漏えい。完全な対策を施したいと考えている企業は多いだろう。適切な手段を複合的に利用すれば、さまざまな要因に幅広く対応できる高レベルな対策を実現できる。

[烏山雄大,ITmedia] PC用表示 関連情報
Share
Tweet
LINE
Hatena
前のページへ |       

情報漏えい対策としてのメールコンテンツフィルタリング

 コンテンツフィルタリングは、主に有害Web情報やスパムメールに対するフィルタとして知られてきたが、情報漏えい対策としても有効だ。読者の多くは、情報の流出経路がWeb掲示板への機密情報の書き込みであったり、電子メールによる外部への転送だったという話を一度ぐらいは聞いたことがあるだろう。しかし、Webに関しては業務上必要なサイトのみにアクセス制限をかけている企業もある一方で、メールは有効なビジネスツールとして普及しているだけに、利便性を重視して、ほとんど制限が設けられていないことが多いものである。

 最新のメールセキュリティ製品の多くは、これに対応すべく、ウイルス対策・スパム対策に加えて、メール監査機能を用いて不正な情報の外部への流出を防止する機能を搭載してきている。さらには、すべてのメールをログとして保管することで、事故発生時の原因究明を容易にする製品も出始めている。ただ、すべてのメールを保管しようとすると、保管容量が問題となる場合が多いので、企業の実情に合わせて導入を検討するのがよいだろう。

社員のPC上の操作を管理

 行動・操作・使用機器制限ソリューションは、PCの書き込みデバイス(USB、CD-Rなど)へのデータ移動、ファイルの閲覧・操作、ネットワークアクセス、プリンタの利用など、ユーザーが通常行う操作それぞれに権限を設定し、行動を管理しようというものだ。

 現状のアクセス権限管理は、部門単位など大まかにしか行われていないことが多く、総務担当者が役職者のID/パスワードを知っているというようなこともよくあった。情報システム部の人間ともなれば、社内すべてのシステムの管理者権限が与えられていることも珍しくはなく、ユーザーの行動を完全に管理しきれているとはい言い難い状況だった。そこで、アクセス権限の管理という考え方を一歩押し進め、ユーザー行動の可否の制御と、行動履歴の取得を目的としたソリューションが登場した。

 これらの製品は、情報の漏えいが発生する原因は「情報そのもの」に存在すると考えているのが特徴で、情報自体とそれを取り扱う機器(エンドポイント)の制御を行おうとする。次のうち、いくつかはOSの権限管理でも実現可能だが、さらに細かな制御が可能だ。

  • メールへのファイル添付は必要だが、添付可能なファイルは制御したい
  • ファイルの共有は必要だが、ファイルの編集ができる者と閲覧のみの者は分離したい
  • データの加工上、ファイルのコピーは必要だが、コピー先は限定したい
  • 社外と情報のやり取りが必要だが、通信手段や受け渡すファイルは制御したい
  • USBメモリを利用して情報を受け取るため、HDDへの移動は許可するが、USBメモリへの書き込みは制限したい
  • ユーザーの行動をすべてログとして残したい

 このソリューションは現在、外資系企業での導入が目立っている。多くは「ユーザーの行動履歴の取得」や「ポリシーに反するファイル操作の禁止」をするために導入しており、特に管理者権限を持つ人間の動向を把握し、内部統制を求める米SOX法(米企業改革法)の監査証跡として利用しているようだ。日本企業での導入はまだこれからという印象であるが、情報漏えい対策の切り札と言えるもので、多くの企業がこうした機能を必要としていると思われる。導入へのしきいは決して低くないが、個人情報保護法などへの対応、今後法制化される日本版SOX法への備えとして検討していく必要があるだろう。

 ここまでさまざま対策を紹介してきたが、現時点においては次のソリューションの導入をお勧めする。

ソリューション 製品情報
HDD暗号化 PointSec(総代理店)SafeBoot
メールコンテンツフィルタリング Symantec Mail SecurityWISE AuditHDE MailFilter
行動・操作・使用機器制限ソリューション DigitalGuardian秘文AECWATSecurityPlathome
情報への利用者情報付与 Protect Paper電子透かしプリントソリューション

 さまざまな対策を複合的に組み合わせれば、うっかりミスから悪意による漏えいまで幅広く対応することが可能だ。特に、社外に情報を持ち出す可能性がある企業(ほとんどではないだろうか?)は、情報が漏えいした際のリスクを正確に把握し、適切な対策を選択していくことが必要だ。

*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***

烏山雄大

三井物産セキュアディレクション(株)シニアコンサルタント。大手システム構築企業を経て現職。システム構築からセキュリティポリシーの構築に至る幅広い経験と知識を活かし、お客様の環境に馴染むコンサルティングを提供している。

*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***

前のページへ |       

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る