SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

EnterpriseZine Day 2024 Summer

2024年6月25日(火)オンライン開催

予期せぬ事態に備えよ! クラウドで実現するIT-BCP対策 powered by EnterpriseZine

2024年7月10日(水)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Day レポート(AD)

「シャドーITを考慮した情報漏洩対策が必要」――日立ソリューションズ中川氏が解説

 企業の機密情報や、個人情報の流出が後を絶たない。”価値のある重要な情報” の位置づけは企業によって異なり、それらが置かれている環境や場所も様々だ。そのような業務環境のなかで、企業の情報システム管理者はどのような対策を行うべきか。「Security Online Day 2014」のなかで、「内部不正を防止するために企業は何を行うべきなのか~重要情報の外部流出を防ぐために必要な対策~」と題して、日立ソリューションズの中川克幸氏が講演した。

スマートデバイスからの情報漏洩リスクに注目

 内部不正による情報漏洩リスクに注目が集まるようになった。たとえば、個人が社内に持ち込んだタブレットやスマートフォンをPCにつなぐと、対策が不十分なPCからデータを抜き取ることができる場合がある。実際に今年、それを原因とした大規模な情報漏洩が起こった。企業は、モバイルやクラウドといった新しいインフラに合わせたセキュリティ対策を行うことが求められている。中川氏のセッションでは、そのような時代背景の中で内部不正を防ぐための管理のあり方から具体的な対策までを解説した。

株式会社日立ソリューションズ ハイブリットインテグレーションセンタ プロダクト戦略部第2グループ 部長代理 中川 克幸氏

▲株式会社日立ソリューションズ  
ハイブリットインテグレーションセンタ 
プロダクト戦略部第2グループ 部長代理 中川 克幸氏

 中川氏はまず、今年8月に経済産業省が5つの経済団体に対して行った、個人情報保護法等の遵守に関する周知徹底の要請について紹介した。この要請のなかでは、情報処理推進機構(IPA)が2013年3月に策定した「組織における内部不正ガイドライン」に触れられており、特に、今年9月に改訂された内容に注目しておく必要があると話した。

 「改訂されたガイドラインで強調されているのは、経営層によるリーダーシップの強化、情報システム管理運用の委託における監督強化、高度化する情報通信技術への対応の3つ。特に3つめについては、スマートデバイスなどによる情報の持ち出しを抑止する対策、適切なアクセス権限の設定・管理およびアクセスの監視、ログを活用した監視の3つがポイントとなっている」(中川氏)

 ガイドラインの4章「内部不正のための管理のあり方」では、10の観点から30項目の対策が示されている。このなかでも「リスクは許容しない方がよい」として、特に重視すべき項目とみなされているのが、「4-2 資産管理」「4-6 人的管理」「4-7 コンプライアンス」だ。

 このうち、情報(データ)の資産管理の例としては、情報の所在を確認して情報資産目録を作成すること、情報を重要度に応じて格付けしマークなどで表示すること、限られた人だけが重要情報にアクセスできるようにすること、一人の管理者に権限を集中させないなどがある。こうした対策を行わないと、情報漏洩そのものに気づかなかったり、漏洩発覚後も不正競争防止法を適用するための要件を満たせないことになるという。

 また、人的管理の対策の例としては、セキュリティ規定などルールを常に見えるように提示する、定期的なセキュリティ教育を実施するといった対策を求めている。また、コンプライアンスについては、従業員の雇用時や雇用終了時に、秘密保持契約書提出を義務化したり、就業規則などに罰則規定を定めておくといった対策を求めている。

 「こうした対策をすべて人手で行うことは企業にとって大きな負担になる。セキュリティツールによる技術的な対策により、管理負荷を軽減していくことが大切だ」(中川氏)

内部不正を防止するための技術的対策

 続いて、中川氏は、内部不正につながる主な脅威と、技術的な対策を解説した。脅威としては、共有アカウントを使ってサーバーになりすましのアクセスを行うことや、外部デバイスを使ってクライアントPCから情報を持ち出すといったものがある。これらに対する監視の仕組みがないと不正行為の見逃しにつながる。

 このため、対策としては、「認証やID管理を強化」することでそもそもアクセスさせないこと、「デバイス制御」を行うことで不正アクセスされても社内から情報を持ち出させないこと、監視・管理を行って、不正行為を見逃さないようにすることができるという。

 「ここ1~2年は、私物のスマートデバイスを社内に持ち込んで勝手に使う"シャドーIT"が脅威として広がりつつある。シャドーITはこれまで企業が行ってきた情報漏洩対策の抜け穴になってしまう可能性がある。これからはシャドーITを考慮した情報漏洩対策を実施する必要がある」(中川氏)

出所:Security Online Day 2014/日立ソリューションズ講演資料より

 シャドーITが情報漏洩対策の抜け穴になるケースとしては、スマートフォンへのデータコピーがある。USBメモリの使用を禁止していても、スマートフォンにデータがコピーできてしまうことがあるのだ。スマートフォンのOSや製造メーカー、接続方法の違いによって、PCでの認識のされ方が異なる。たとえば、Androidでは、カードリーダーモードのほか、メディアを転送するためのMTPモード、メーカー独自モードなどが存在する。カードリーダーモードだけを制限していた場合、MTPモードなどでの情報の転送を制限できないことになる。ここで有効なのは「認識される可能性のあるすべてのデバイスに対してデータコピーをブロックする対策」だ。

 また、スマートフォンのテザリング経由で情報が持ち出されるケースも抜け穴となる。フィルタリングでインターネット接続をチェック・制限していてもテザリングを行うと、この制限を回避できてしまうのだ。インターネットに直接接続されると、社内のファイアウォールやWebフィルタリングなどのセキュリティ対策が効果を発揮しなくなる。クラウドストレージなどへのファイルの不正アップロードやWebメールの送受信、悪意のあるWebサイト閲覧によるマルウェア感染のリスクに直接さらされるわけだ。ここで有効なのは「PC側で接続できるネットワークを制限する対策」だ。具体的には、会社が許可していない無線LANアクセスポイントへの接続を禁止すればよい。

「秘文」による情報漏洩対策

 そのうえで、中川氏は、日立ソリューションズが展開する「秘文」では、こうした「不正なデータコピー」や「テザリングの使用」に対して、情報漏洩をブロックすることができると説明。特に、不正なデータコピーでは、モバイルやウェアラブルデバイスなど、今後新たに登場することが予想されるさまざまなデバイスの脅威にも対応できるとした。

出所:Security Online Day 2014/日立ソリューションズ講演資料より

 また、スマートフォンのテザリングについては、Wi-FiテザリングやBluetoothテザリングだけでなく、USBケーブルを接続するUSBテザリングのように、有線LAN接続と認識される可能性があるものまで防止できることがポイントだという。

出所:Security Online Day 2014/日立ソリューションズ講演資料より

 また、日立ソリューションズでは、「認証強化・ID管理」「管理・監査」「持ち出し制御」「データ統制」という4つの分野に対応した内部不正防止ソリューションも提供している。セキュリティコンサルタントのコンサルテーションにより、現状のセキュリティ対策が効果的に運用されているか、対策に漏れはないかなどを明確にした上で、日立ソリューションズが提供する豊富なセキュリティ関連のソリューションを組み合わせたお客様の業務環境に最適な対策を行うことが可能だ。

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/6421 2015/05/07 16:54

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング