基本的には業務上の必要がなければ情報を持ち出さないようにすることが重要です。しかし、業務上持ち出さねばならない場合や不正に持ち出される場合を想定し、対策を講じなければなりません。いずれにしても情報が社外に漏洩する(不正に流出する)場合、必ず情報が持ち出される経路と媒体が存在します。
まず情報が持ち出される可能性のある経路と格納媒体を整理してみましょう。
以下が一般的な情報の経路および媒体です。
-
経路:ネットワーク
(媒体)Web、メール、通信ソフトウェア、外部ストレージ等 -
経路:物理
(媒体)電磁記録 ⇒ USBメモリ、外部メディア、スマートフォン等
(媒体)紙 ⇒ プリンタ出力、画面印刷、FAX、写真等
業務形態やデータ容量の大小等により、漏洩に関するリスクも増減しますが、不正か正当な権限内のアクセスかにかかわらず、上記の経路と媒体の特性に応じた対策をそれぞれ実施する必要があります。
それでは対策のポイントについて解説していきましょう。
1.Web/メール対策
一般的なビジネス・ツールとして普及しているWeb/メールは、日常的にデータをやり取りするコミュニケーション基盤でもあり、最も漏洩リスクが高い媒体であるとも言えます。業務の利便性にも影響することから、セキュリティ面だけを重視した対策は実装しにくい面がありますが、機密性の高いデータとそれ以外のデータを重要度別に分けて対策のスコープを明確にすること等によりある程度の対応は可能です。
【対策のポイント】フィルタリングやログの取得が有効
上長承認
Webのアップロードやメール送信等により社外にデータを送る必要がある場合に、業務上必要と判断したデータのみ上長承認を経て、アップロードや送信を可能とする。
フィルタリング
各種のフィルタリング設定により、社外への情報流出の経路を制御する。
(Web)
・C&Cサーバ、業務に不要なサイト、情報漏洩の可能性のあるファイル共有サイト、Webメール等の特定のサイトへのアクセスやアップロードを禁止する。
・個人情報に関連する特定の文字列や形式(電話番号/クレジット番号等)を含むファイルのアップロードを禁止する。
(メール)
・許可されていない社外の宛先に対して送信を禁止する。
・ヘッダ、件名、本文、添付ファイル、メール・サイズ、添付ファイルのメディア・タイプ等から送信可否を判定する。
ログ取得
Webのアクセス・ログやメールの送信ログを取得/監視することで、情報漏洩に対する抑止力の向上や事後調査に活用する。
図1 Web/メール対策 ~フィルタリングやログの取得~
2.USBメモリ/スマート・デバイス対策
サーバやクライントPCにあるデータを共有したり、社外に持ち出す際には、USBメモリやスマート・デバイスに書き出す可能性が考えられますが、これも1つの漏洩経路となるため、対策としては以下のように、業務で必要な場合にのみ書き出しを可能とする仕組みが有効です。
【対策のポイント】業務に不要なものは禁止する
ポートの制限
業務上不要と判断できる場合には、USBのポートを使用不可として、書き出しを完全に禁止する。
書き出し制御
(USBメモリ)
・一律の設定ではなく、ユーザ/グループ単位に書き出しの制御を設定する。
・個人所有のUSBメモリと混在している場合、許可したUSBメモリ(個体)にのみ書き出し可能とする。
・管理者が承認したファイルのみ書き出し可能とする。
(スマート・デバイス)
・情報を保持する媒体としてはUSBメモリと同等の扱いとなるが、スマートフォン等は機種やアプリケーションによりWPD(Windowsポータブル・デバイス)以外として認識されるケースがあり、認識されるデバイスの種別や書き出し制御の可否を確認した上で対策や方式の決定が必要である。
図2 USBメモリ/スマート・デバイス対策 ~業務に不要なものを禁止~
3.通信ソフトウェア/プリンタ対策
前述の情報漏洩に関する経路は全く異なりますが、通信ソフトウェアとプリンタの場合、PC側における対策の観点では類似性があるため、ここで対策のポイントをまとめています。
通信ソフトウェアに関しては、一般的に漏洩リスクの高いPtoPを用いたファイル共有(交換)等のソフトウェアを想定しています。
【対策のポイント】導入の抑制やデータの重要度に応じた対策を実施
(通信ソフトウェア)
社外との通信によりファイル共有を実施するソフトウェアの導入権限を抑止する。
また、事前に社内利用における標準ソフトウェアを設定し、通信ソフトウェアを含む非標準ソフトウェアの導入は申請を義務化する。
(プリンタ)
許可されたPC以外はプリンタ・ドライバの導入権限を抑止したり、プリンタ操作時の認証を行う。また、PC/アカウント/データの重要度等の属性により重要データの印刷を制御する。
4.カメラ/FAX対策
カメラ/FAXの場合、情報の媒体やデータ自体の属性は異なりますが、使用用途が限定されており、いずれも専用の機器を使用するという点で類似性があります。以下に対策のポイントをまとめます。
【対策のポイント】利用制限やログの監視を実施
物理対策(カメラ)
重要データにアクセスできるエリアを制限し、カメラ(カメラ機能を持つデバイス全般)の持ち込みを禁止とする。
認証(FAX)
FAX側でのアカウントや生体認証により送信を制御する。同時に通信ログの監視を行う。
今回は持ち出し制御について解説しました。いかがでしたか?次回はアクセス制御/特権ID管理のポイントについて解説します。
