SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Data Tech 2022

2022年12月8日(木)10:00~15:50

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Day 2022レポート(PR)

改正個人情報保護法の施行で注意すべき点は? 個人情報データ保護とログ監視を軸に実効性の高い管理を実現

インシデント時だけでなく、平時から把握しておくべき3つのポイント

ログとアクセス履歴は通常時から管理が必要

 では、具体的に課題に対してどのように対応すればいいのだろうか。松下氏は情報漏洩が発生したときの報告義務が、個人情報保護法に追加されたことへの考慮点として、ログとアクセス履歴の管理といった証跡管理と追跡を挙げた。

 「ここで重要なのは、インシデントが起こったときだけの把握ではなくて、通常時から把握しておくことです」と松下氏は語り、「『報告』への準備」の具体的な監視ポイントとして、次の3つを挙げた。

  • USBメモリへのファイル書き出し
  • ファイルのダウンロード
  • Webメールやオンラインストレージへのファイルアップロード

 そして、これらの監視ポイントを把握するツールとして、松下氏はSaaS サービスの「Sumo Logic」を提案する。Sumo Logicを使用することで、ログを暗号化してからインターネット上で管理が可能だ。しかも150種類を越える標準のテンプレートが用意されており、様々な製品のログを大きな手間をかけることなく管理できるという。

個人情報保護の監視ポイントはSumo Logicで監視が可能
個人情報保護の監視ポイントはSumo Logicで監視が可能

 また無料で利用できる機能として、脅威インテリジェンスといわれているC&C系のログと、Sumo Logicを利用している企業のログを突合できるようになっている。これにより、リスクを抽出することが可能になり、さらに大容量のログを長期間にわたって保存することもできる。

保護をしすぎない、実効性の高い管理が重要

 「『防御』の強化」によって情報漏洩リスクを低減し、損失を最小限にするための対策として松下氏は「データを外部に送信するときだけでなく、常時しっかりと保護しておくことが重要です」と話した。ただし、あまりにも保護をしすぎると従業員が抜け道を探して、被害を拡大するポイントになることもあるという。つまり、実効性の高い管理が重要になるのだ。

 現在、ファイルを使用する場所はパソコンだけでなく、ファイルサーバーやインターネット、他社のデバイスなど利用シーンはとても広がっている。こういったなかで、いかにして「『防御』の強化」を図っていけばよいのか。松下氏は次の5つを、防御を考慮すべきポイントとして挙げた。

  1. 日頃から常にデータ保護
  2. 従業員の業務はいつものまま
  3. 個人情報を含むデータを自動検出
  4. 個人情報を含むデータを自動暗号化
  5. 暗号化ファイルのライフサイクルを記録

 この5つの点を一括管理できるサービスとして、松下氏は、アルプス システム インテグレーションが開発したInterSafe FileProtectionとオプションのInterSafe PISを挙げた。

terSafe FileProtectionとPISでファイルの自動暗号化とアクセス制御を実現
InterSafe FileProtectionとPISでファイルの自動暗号化とアクセス制御を実現

 「個人情報のデータファイルがどこにあるかわからない」という状況に対しては、InterSafe PISが検索対象エリアのファイルの中身を自動的にチェックし、個人情報が含まれているファイルを検出する。そういった個人情報のデータファイルをリスト化し、InterSafe FileProtectionが自動的に暗号化を行う。

 しかもこれらは、すべて自動的に行われる。つまり、従業員は何も意識することなく使うことができるのだ。さらにこれらのファイルは、いつ、誰が、どこで、何をしたか、ということが、あとからもわかるようになっている。

 暗号化だけでなくアクセス権を付与できるようになっており、閲覧権限、編集権限のルールをあらかじめ管理者が設定可能。つまり社内の情報管理に役立てることもできるのだ。InterSafe FileProtectionにはSDKもあり、社内ポータルに組み込んだりAWSのファイルサーバーへ組み込んだりして活用することもできる。これにより各パソコンに保存されている個人情報データを検出し、社内ポータルやファイルサーバーへ集めて暗号化した上で、一括管理することが可能になる。

次のページ
条件を満たせば報告の省略が可能になる

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
関連リンク
Security Online Day 2022レポート連載記事一覧

もっと読む

この記事の著者

森 英信(モリ ヒデノブ)

就職情報誌やMac雑誌の編集業務、モバイルコンテンツ制作会社勤務を経て、2005年に編集プロダクション業務やWebシステム開発事業を展開する会社・アンジーを創業。編集プロダクション業務においては、IT・HR関連の事例取材に加え、英語での海外スタートアップ取材などを手がける。独自開発のAI文字起こし・...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/16691 2022/11/15 10:00

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年12月8日(木)10:00~15:50

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング