SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Security Online Day 2024 春の陣

2024年3月13日(水)10:00~17:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

徳丸浩が斬る、セキュリティのイマ

「いっそログ履歴を壁に貼ってみる?」教科書的でも難しい情報流出対策、重要なのは“見られている意識”

【徳丸浩が斬る、セキュリティのイマ:第9回】内部不正を防ぐためには、現実的にどうすればいいの?

 多くの日本企業でセキュリティ被害が増えている昨今、企業や組織はどう対応していくべきなのか。イー・ガーディアングループCISO 兼 EGセキュアソリューションズ取締役CTOである徳丸浩氏が、日本の「セキュリティのイマ」をわかりやすく徹底解説する連載企画第9弾。今回のテーマは「『いっそログ履歴を壁に貼ってみる?』教科書的でも難しい情報流出対策、重要なのは“見られている意識”です。第8回の記事に引き続き、今回も情報流出対策がテーマです。今回は、内部不正による情報漏えいを具体的に防ぐための対策について詳しく解説します。

教科書的な対応が第一歩

 はい、では改めて、各組織にて現実的にどういった対策をしていけばいいかについてご説明しましょう。

 教科書的に言えば、まず情報資産の洗い出しをして、その重み付けを行います。たとえば、ISMSなどの認証ことISO 27001などを受けている企業であれば、必ずやっているはずです。

 そうでなくてもやっている企業は多いとは思いますが、それは当然行うとしても、もうちょっとメリハリをつけた対策「これは自分たちにとって特に守るべき情報である」というのはある程度わかると思われます。そのため、何十行とか何百行もあるような情報資産台帳を作るとはまた別に、特に重要な情報(おそらく数種類、大きな企業であればさらに増えると思います)を重点的に守るということをまずは取り組むと良いでしょう。

 最近はその重要情報が紙で存在するというのはまずなく、ITと言いますか、データベースという形になっていると思います。そしてそのデータベースにアクセスできる人は誰であるのか。ここで前回の記事でも申し上げている、「最小権限の原則」ということが出てくるわけですね。教科書的な内容ではあるのですが、これはぜひやりましょう。「教科書的ではあるけど難しいよね」ではなく、これは必ずやっていただかないといけないものであります。

 また「一人1IDの原則」というのも、「運用が大変だ」ということでやってないところも多いとは思いますが、これも非常に重要です。

 なぜこれが重要か。運用においては同じ権限ですので、その権限管理という点であれば共通IDとパスワードでも問題ありません。しかし、内部不正による大規模情報流出のような事件があった際は、「誰がやったのか」という点を追跡するときに特定が非常に難しくなってしまいます。ですから「一人1IDの原則」というのは大変であっても、是非やるべきであるということになります。

 また、内部犯による情報流出でさらに考えなくてはならないのが持ち出し経路です。これは実のところ、すべてを網羅するというのは非常に難しいです。まあ、できる範囲ではもちろんやっておくということで、可能であれば 媒体経由での持ち出し、USB メモリーなどそういったものはシステム的に禁止をしておくということが望ましいですね。

 またこれも可能であれば、その重要情報、個人情報を扱うパソコンを区別して、そのパソコンからは自由にインターネットにはつなげられないようにしておくといった対策が考えられます。業務の性質によって、そうした対策をするかどうかを決める。そしてやるのであれば、徹底してやるということが必要になります。ただ、この辺は割と一般的な対策ではあります。

次のページ
誰がどの程度アクセスしたかわかるように

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
徳丸浩が斬る、セキュリティのイマ連載記事一覧

もっと読む

この記事の著者

徳丸浩(トクマル ヒロシ)

イー・ガーディアングループCISO 兼 EGセキュアソリューションズ取締役CTO。ウェブアプリケーションセキュリティの第一人者。 脆弱性診断やコンサルティング業務のかたわら、ブログや勉強会などを通じてセキュリティの啓蒙活動を行う。 徳丸氏がCTOを務めるEGセキュアソリューションズは、セキュリティの知識を問う 「ウェブ・セキュリティ試験」の監修を務める。著書「体系的に学ぶ 安全なWebアプリケーションの作り方 第2版」は、...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/19101 2024/01/31 08:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2024年3月13日(水)10:00~17:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング