そのログ、なんのため?
PC主体の業務が多い時代となって久しく、重要情報もデータ化が進んでいるため、専用ソフトを導入して業務用PCの操作ログを記録している組織は、ずいぶんと多くなっています。
ログ取得を行っている理由は、社員のPC操作を把握して、情報漏えいにつながる不正操作(挙動)を未然に防ぐためや、PCの操作を監視している事実を周知することで、不正操作の抑止効果を得るためです。
さらにPCにインストールされているソフトウェアの種類やバージョンを収集し、ITの資産管理に活用することが可能なソフトもあります。
ところで、それら操作ログの有効活用は、実際のところどれだけ実現出来ているのでしょうか。
事件が発生したときに分析すればいいと思い、ログの蓄積を粛々と行っていたり、操作ログを特定の操作(ファイル操作、アプリケーションの起動・終了、電源OFF/ON等)に絞り込みはしているものの、分析するべきポイントがはっきり見えていなかったりすることが少なくないと思います。
PCの操作ログは、ネットワークのトラフィックを監視しているわけではないので、実際にデータが外に流出したという“決定的な証拠”をつかむまでには至りません。しかしそのログには、漏えいに繋がる可能性がある操作等を、見いだせる情報がいっぱい詰まっているのです。
膨大な量のPCの操作ログを絞りこむ
PC操作のログは、OS上の様々な操作が記録されているため、非常に膨大な量です。そのまま人が分析に手を付けることは労力の無駄です。その前に、ファイルイベント等のある程度特定の操作のみに絞り込む必要があります。絞り込みを行う情報は以下の通りです。
(1)USBメモリ等のデータ書き込み
USBメモリ等に対するファイル書き込み操作(=データの持ち出しの可能性)を絞り込みます。社内でUSBメモリの使用を原則禁止しているのであれば、その内容は注意して見る必要があります。操作を検出した時点で、セキュリティ管理者等の関係者に、自動的にメール配信するような仕組みにしておくことも、担当者が迅速な対応を行う上で有効です。
(2)ファイル共有ソフトを始めとする、「ファイルを内から外に送信するソフト」の起動及び、ソフトが読み込んだファイル名
該当するソフトの実行状況を絞り込みます。情報を取得するための事前作業として、ファイルの送信が可能なソフト(ファイル共有ソフト、ブラウザ、メールソフト等)を選別しておき、絞り込み時のキーにする必要があります。
ファイル共有ソフトといえば、日本国内で多くのシェアを占めている「Winny」「Share」が思い浮かぶと思いますが、それらの後継ともいえる「Prefect Dark」や、海外でよく使用されている数々のソフトについても調査して、絞り込みの対象にしてはどうでしょうか。
ブラウザに関しては、Windows標準搭載の「Internet Explorer」のシェアが相変わらず多くを占めている状況です。しかし各社でそれぞれ特色を持った、拡張性が高いブラウザが提供され続けているため、やはり絞り込みのための調査が必要です。
ブラウザを利用すると、様々なデータ送信サービスを使用することが出来ます。比較的一般的なのは、Webメールの使用でしょう。IDとパスワードさえあれば、会社のPCからインターネットを通じてデータの送受信が可能です。サービスを使用するために料金が掛からないケースが多いのもポイントです。
大容量のファイルが送信出来る、数々のファイル送信サービスも、ブラウザを通して社外へのデータの送信が出来ますので、ブラウザに読み込ませたファイル名は、注意して確認する必要があります。
ですので、全て網羅するのは難しいかもしれません。まずはあらかじめ社内で使用する標準メーラーを定めた環境で、絞り込みを行ってはどうでしょうか。
業務上でメールにファイルを添付する作業(=メールソフトでファイルを読み込む操作)は非常に多く、単純にメールソフトで読み込んだファイルを絞り込むと、データ量が大変多くなってしまいますので、絞り込みの条件に注意する必要があります。
また、実はソフトが動作する際に設定ファイルや一時作業ファイル等を読み込む動作が意外と多いのですが、それらの動作ログは必要が無いので、絞り込み時にうまく除外する工夫も行わなければなりません。
(3)特定のキーワードを名称に含んだファイルの操作
これは、(1)(2)で絞り込んだ情報に対して、「特定のキーワードを名称に含んだファイルの操作」として更に絞り込む作業を行い、より必要とする情報に集約する作業です。
特定のキーワードとは、会社にとって漏えいしてはいけない重要なファイル(機密情報・顧客情報等が含まれるもの)に付けられている名称等のことです。それらを指定し、ピンポイントで絞り込み出来るようにすると良いでしょう。キーワードはログ収集元の会社の職種等によって、適切なものが変わってきますので、事前に良く考えておく必要があります。
ログ上のPC名に部署と使用者を紐付ける
前述した作業をうまく行えば、操作に関して適切に絞り込めたログが準備できるでしょう。あとはログに残されたPC名と「部署名」「使用者名」を紐付ける作業が必要です。
PC名に対して使用者を紐付ける作業は当たり前として、併せて部署名も紐付けると良いでしょう。そうすることにより、部署ごとの統計を出すことが出来るので、部署同士でのPC使用状況を比較することが可能になります。
また、前項(3)で少し触れましたが、部署が登録されていることで、重要なファイルを関係の無い部署が操作している事実を発見しやすくなります。
例えば、人事部の人が業務上普通に取り扱うキーワード(人事、異動等)を含んだファイルを操作している場合は、業務上の作業である割合が高いはずですが、他の部署がそれらのキーワードを含む操作を行う場合は、業務以外の可能性があると判断出来るようになります。
* * *
今回は膨大な量のPC操作のログを、必要なものに絞り込むための方法について述べましたので、抽象的な内容が多かったかもしれません。
次回は、現在弊社の情報警備監視センターが監視を行っている、200社以上のPC操作ログの中から、実際に絞り込んだログの分析を行い、何が見えてくるのかを具体的に説明していきたいと思います。
