Notesが穴？ 「見える化」で対処する日本版SOX法：“見える化”によるグループウェア再生術（2）（2/3 ページ）

[砂金 信一郎（リアルコム株式会社），＠IT]

見える化で実現するセキュリティ・内部統制対策強化

　リスクの見える化でセキュリティ強化や内部統制に寄与する分析例を4つご紹介する。

図4　リスクの見える化による情報漏えい対策

■対策1：ログ監視を告知して威嚇

　最初に紹介するアプローチは、不正アクセス発生抑止を目指し、「ログを取って監視をしているから気を付けろ」と社内ユーザー（以下、ユーザー）に広く伝えることで意識面に働き掛け、ユーザーの“魔が差した”行動の抑制を狙うものである。

　空き巣に目を付けられやすいのは、洗濯物が何日も干しっ放しだったり、新聞や郵便物がたまっていたりと、見た目に管理がずさんなことが分かってしまう家である。社内に「アクセスログを取っています」と宣言することで、監視カメラや、ホームセキュリティ会社のシールで得られる効果と同様の抑止力が期待できる。

　アクセスログを取得していることを伝えることで、ユーザーは不用意なアクセスがしにくくなるが、これだけでは悪意ある人間に対するセキュリティ対策としては機能せず、補完的な施策が必要となってくる。

■対策2：アクセス傾向分析による危機察知

　情報漏えいや不正アクセスを、未然に防止できればいうことはない。しかし、すでに何らかの対策を施していながら、完ぺきに防止する自信を持つことは難しく、われわれが接してきた多くの運用担当者も、「不正アクセスにさらされているのではないか」「情報が持ち出されているのではないか」という不安に常にさいなまれている。

　その不安解消の一助となる、文書・DBに着眼した分析とユーザー・組織に着眼した分析例をご紹介する。

-文書やDBの監視

　あらかじめ重要な情報が含まれるDBを特定できる場合には、集中的に監視することでリスクを軽減できるが、広く散らばっている場合には、できるだけ人の目に頼らない方法を考える必要がある。

　アクセスログを取得していれば、さまざまな分析が可能になる。例えば、突発的な問題個所を俯瞰（ふかん）的に発見するには、尖度（ExcelのKURT関数）などの統計値が有効である。しかし、現場に浸透させるための指標としては直感的でないため、ドリルダウン可能な時系列折れ線グラフで表示するなど、シンプルな方法が適している。

　これまでほとんど参照されることのなかった文書やDBに対するアクセスが、突然発生した場合、その背後で不正アクセスが発生していることは十分考えられる。

図5　DBごとの文書アクセス数の変化の察知

　また、DBや文書の主管部門を設定し、情報の輸出入を図6の例のように見える化していれば、本来関係のない他部門や、本来情報の交流があってはならないプロジェクトからのアクセスがあった場合に、その判別が容易になる。

図6　部門間の情報流通分析「情報の輸出入」の例（クリック >> 図版拡大）

-ユーザーの監視

　これまでほとんどアクセスしていなかったユーザーが、急にNotesを活用するようになった場合、アカウントを他人に不正利用されていないか、変化の原因を探っておいた方がよい。パスワードを初期設定のまま長い間変更していないことが判明した場合には、なりすましアクセスであることも考えられる。

　平均的な利用率と直近の利用率を指標化し、その乖離度をユーザーごとに管理して、閾値を超えたらアラートを出すような仕組みを構築している企業もある。

　DBと同様に、退職前のユーザーや出入りの多い協力会社社員など、ユーザー属性であらかじめリスクの高そうな対象を絞ると監視が効率化できる。特に、退職直前の一括レプリカは、他社に情報を持ち出される危険性が高い。権限をはく奪できない場合には集中して監視すべきである。

■対策3：情報漏えい・不正アクセス源の特定

　管理がずさんな場合には処罰の対象となってしまうこともある昨今、不幸にも自社で情報漏えいが発覚した場合、その発生源を特定し報告する義務がある。Notes/Dominoも例外ではなく、運用管理担当者の報告すべき内容はより詳細に求められるようになってきている。もはやサーバやDBレベルでの大ざっぱな監視では済まされず、文書あるいはユーザー単位で発生源を特定し、報告する必要がある。

　しかし、どんなに強固なシステム防御を施していても、人間系が抜け穴となることはある。世間を騒がせたWinnyによる情報漏えい事件では、正規の権限を持った内部の人間が情報を自宅に持ち帰り、ウイルス感染したPCから流出させているのである。情報漏えいが刑事事件に発展することも多い中、管理者としても事後の追跡調査手段を用意しておくべきではないか。

■対策4：想定される影響範囲の特定

　Winnyによる情報流出と並んで多いのが、データの入ったPCやUSBメモリの紛失事件である。

　想像もしたくないだろうが、自社の社員がPCを社外に持ち出して紛失した際、Notesパスワードが破られることを想定すると、どの程度の情報漏えい被害が考えられるだろうか？

　該当となっているPCのレプリカ状況を、サーバ側で詳細に把握することができていれば、最大限漏えいする可能性のある範囲を把握することができる。紛失したデータを正しく把握し、素早く公表することが最終的に会社信用失墜度合いの軽減につながるのである。

図7　PC紛失から流出文書を特定