ログとアクセス履歴は通常時から管理が必要
では、具体的に課題に対してどのように対応すればいいのだろうか。松下氏は情報漏洩が発生したときの報告義務が、個人情報保護法に追加されたことへの考慮点として、ログとアクセス履歴の管理といった証跡管理と追跡を挙げた。
「ここで重要なのは、インシデントが起こったときだけの把握ではなくて、通常時から把握しておくことです」と松下氏は語り、「『報告』への準備」の具体的な監視ポイントとして、次の3つを挙げた。
- USBメモリへのファイル書き出し
- ファイルのダウンロード
- Webメールやオンラインストレージへのファイルアップロード
そして、これらの監視ポイントを把握するツールとして、松下氏はSaaS サービスの「Sumo Logic」を提案する。Sumo Logicを使用することで、ログを暗号化してからインターネット上で管理が可能だ。しかも150種類を越える標準のテンプレートが用意されており、様々な製品のログを大きな手間をかけることなく管理できるという。
また無料で利用できる機能として、脅威インテリジェンスといわれているC&C系のログと、Sumo Logicを利用している企業のログを突合できるようになっている。これにより、リスクを抽出することが可能になり、さらに大容量のログを長期間にわたって保存することもできる。
保護をしすぎない、実効性の高い管理が重要
「『防御』の強化」によって情報漏洩リスクを低減し、損失を最小限にするための対策として松下氏は「データを外部に送信するときだけでなく、常時しっかりと保護しておくことが重要です」と話した。ただし、あまりにも保護をしすぎると従業員が抜け道を探して、被害を拡大するポイントになることもあるという。つまり、実効性の高い管理が重要になるのだ。
現在、ファイルを使用する場所はパソコンだけでなく、ファイルサーバーやインターネット、他社のデバイスなど利用シーンはとても広がっている。こういったなかで、いかにして「『防御』の強化」を図っていけばよいのか。松下氏は次の5つを、防御を考慮すべきポイントとして挙げた。
- 日頃から常にデータ保護
- 従業員の業務はいつものまま
- 個人情報を含むデータを自動検出
- 個人情報を含むデータを自動暗号化
- 暗号化ファイルのライフサイクルを記録
この5つの点を一括管理できるサービスとして、松下氏は、アルプス システム インテグレーションが開発したInterSafe FileProtectionとオプションのInterSafe PISを挙げた。
「個人情報のデータファイルがどこにあるかわからない」という状況に対しては、InterSafe PISが検索対象エリアのファイルの中身を自動的にチェックし、個人情報が含まれているファイルを検出する。そういった個人情報のデータファイルをリスト化し、InterSafe FileProtectionが自動的に暗号化を行う。
しかもこれらは、すべて自動的に行われる。つまり、従業員は何も意識することなく使うことができるのだ。さらにこれらのファイルは、いつ、誰が、どこで、何をしたか、ということが、あとからもわかるようになっている。
暗号化だけでなくアクセス権を付与できるようになっており、閲覧権限、編集権限のルールをあらかじめ管理者が設定可能。つまり社内の情報管理に役立てることもできるのだ。InterSafe FileProtectionにはSDKもあり、社内ポータルに組み込んだりAWSのファイルサーバーへ組み込んだりして活用することもできる。これにより各パソコンに保存されている個人情報データを検出し、社内ポータルやファイルサーバーへ集めて暗号化した上で、一括管理することが可能になる。
