• インフォセックについて
  • サービス
  • トピックス
  • 採用情報
トップページ >  トピックス > 特集 > 「情報の内部流出は大丈夫でしょうか?」

特集

特集2情報の内部流出は大丈夫でしょうか?

1.内部者による攻撃
実は、外部者による攻撃と、内部者による攻撃は、同程度の比率で発生しています。内部の人間によるアクセスは、業務上の必要性から、もともと許可されている場合も多く、内部者による攻撃が発生した場合は、外部者による攻撃に比べ、損害額、被害額が大きくなる傾向があります。個人情報、機密情報にアクセスされて、外部に持ち出されることを考えた場合、組織や会社は一体、どのようにして防御すればよいのでしょうか? アクセスをさせなければ安全ですが、それでは業務が進まないでしょう。業務を遂行していると見せかけて、不正行為をされていたとしたら、どのようにして発 見できるのでしょうか?
2.予防
まず、いろいろな方法で、攻撃の意図を無くすことが大切です。就業規則に罰則規定を設けることや、職員や社員に大きな不満を抱かせない配慮なども必要でしょう。もう少し系統立てて内部者の攻撃を予防するには、次のような方法があります。
(1) 知る必要性の原則 (Need-to-Know の原則)
業務の遂行に必要な情報だけを開示して、不必要な情報へのアクセスは原則的に禁止する、という考え方です。 機密情報や、個人情報など、重要な情報を守るためには、本当に必要な人にだけ、必要十分な情報を開示する  ようにします。
(2) 最小権限の原則 (Least Priviledge)
先ほどは「情報」でしたが、今度は「権限」です。業務の遂行に必要な業務権限だけを許可して、不必要な業務権 限は原則的に禁止する、という考え方です。アクセス権限の設定や、使用可能なコマンドの制限、利用可能なソ  フトウェア機能の制約などを実施します。
(3) 職務分離の原則 (Separation of Duty)
一人で、ひとまとまりの業務を実行可能にしない、ということです。例えば、帳票の入力業務と承認業務を分ける、 発注仕様書の作成業務と発注業務を分ける、支払い依頼書の作成者と支払い実行者を分ける、など、現実にも  よく採用されている方法です。
これと似ていて微妙に違うものに、二人制御 ( Two-Man Control ) という考え方があります。これは同じ権限(機能)を持つ人が二人いないと業務が実行できない、ということです。よく映画などで、核ミサイルの発射スイッチを押すのに、二人の人間が同時に操作しないといけないというシーンが出てきますが、これがその例です。
3.検知

さて、予防策を講じたとしても、万全とはなかなか言えないものです。そのときに必要なのが「検知」です。実際の攻撃や、不正アクセスが実行されたときに、これを検知して警告を上げ、攻撃や不正アクセスに対抗策を取り、可能であれば実行者を特定するという考え方です。

装置レベルで言えば、ファイアウォールや、侵入検知システム(IDS: Intrusion Detection System)、侵入防止システム(IPS: Intrusion Prevention System) になります。日本のファイアウォールの普及率は、組織や会社では、ほぼ100%ですが、侵入検知システム、侵入防止システムの普及率は、まだ 20% 程度です。米国では、侵入検知システム、侵入防止システムの普及率は、70% 程度に達しています。また、大きな組織では、内部のネットワークを複数のサブネットワークに分割して、サブネットワーク同士をファイアウォールで接続する、という考え方も必要になってきます。

「検知」という立場で考えると、ログや警告(アラート)の「監視」が欠かせません。いくら装置レベルで検知に成功していても、それを引き金にして何らかの行動を起こさなければ、検知機能を有効に活用しているとは言えません。実は、この「監視」は、非常に大変な作業です。24時間、365日、ひたすらログと警告(アラート)を眺めるという作業は、誰もやりたくありませんね。そこで、この作業を自動化と集中化することによって効率的に実施し、エンドユーザーにアウトソーシングサービスとして提供するという業務分野が誕生しました。セキュリティ監視サービスなどと呼ばれています。インフォセックも、このサービスを提供しています。「監視」の必要性は感じているが手が回らなくて、などとお考えの向きには、ぴったりのサービスです。

セキュリティ監視サービスについて興味のある方は、「セキュリティ監視サービス」をご覧下さい。

4.事後対応

あまり考えたくないことですが、攻撃を受けてしまった場合はどうしたらよいのでしょうか?

基本的には、被害範囲を大至急調査し、それに応じて対策を取っていくことになります。個人情報流出、という事態に至れば、顧問弁護士に相談する必要も出てくるでしょう。事後の対応次第で、傷を深くすることも、浅くすることもあります。

事後対応の場面では、インシデントレスポンスと、コンピュータ・フォレンシックという分野があります。インデント・レスポンスの方は、実際に発生した攻撃や不正アクセスにどのように対処して、被害範囲を調査し、さらなる被害の発生を防止し、システムを復旧させるか、という一連の流れになります。コンピュータ・フォレンシックは、攻撃や不正アクセスの証拠をどのように収集・保全し、刑事訴訟・民事訴訟に使えるものにする手法です。

[ 特集 Top ]


page-top