社員のポリシー違反を事前に察知したい

この記事をtweetする このエントリーをはてなブックマークに追加

社員のポリシー違反を事前に察知したい

2012/08/30


 情報漏洩は、内部の従業員の行動に起因することが多い。多くの企業ではセキュリティポリシーを策定し、それに沿ったセキュリティ対策や業務運用を図っている。しかし、ポリシーに反した行動をとってしまう従業員は必ず出てくる。多くはうっかりミスだが、ときには悪意を持って書類を社外に持ち出すような反社会的な行動をとる者もいる。経営に重要な支障をもたらしかねないこうした従業員の行動に、どう統制をかければよいか悩む企業も多いだろう。ITツールですべて解決とはいかないが、従業員がポリシーを知り、遵守する仕組みづくりの一環として、ITツールは役に立つ。

 【1】従業員のハイリスクなPC操作を禁止する 
 【2】従業員のPC操作のログをとり、行動を管理する
 【3】複数システムとネットワークのログを相関分析する 

 【1】はUSBへの情報コピーの禁止などをする、【2】はPC操作履歴を監視し、不正行為の抑止につながる、【3】はサーバへのアクセスなどを中心にリスクの高い行動が割り出せる方法だ。以下、詳細を見ていこう。

※「ログ管理/社員のポリシー違反を事前に察知したい」の記事を一部ご紹介します。会員登録を行い、 ログインすると、「ログ管理/社員のポリシー違反を事前に察知したい」の記事全文がお読みいただけます。

会員登録はこちら(無料)



解決策1

従業員のハイリスクなPC操作を禁止する

 基本的にPCでUSBメモリやCD-R、外付けHDDなどの外部記憶媒体を利用しないポリシーを作り、ツールを適用して強制的に遵守させることが、1つの情報漏洩防止策になる。
 情報漏洩の原因のトップは「紛失・置き忘れ」「盗難」「誤操作」だ。これは従業員の不注意によって起きることがほとんど。紙の資料からの情報漏洩が一番多いのだが、なかには社内文書をコピーしたUSBメモリやCD-Rなどを紛失したりすることもある。コピーできる容量が大きいだけにリスクは高い。
 そこで外部記憶媒体使用禁止のポリシーが一般化している。しかし特にUSBメモリは使い勝手がよいため、いくら書類に記して口頭で言っても、従業員に徹底できないのが通例だ。そのため、強制的にUSBなどの外部媒体をPCで使用できないようにするケースが少なくない。デバイスの使用禁止は、OSの設定で行える。またActive Directoryを利用している場合はグループポリシーで一括して複数のPCに設定を適用することも可能だ。
 しかし実際にはもう少し柔軟性のあるルールのほうが望ましい。例えばUSBデバイスは禁止するが、バックアップ用に外付けHDDは許可する、SDカード等のメモリはデジタルカメラの情報等を利用することが多ければ許可する、さらに申請して許可され、管理ツールに登録済みのUSBメモリだけを使用許可する、などといった、さまざまな選択肢で禁止ルールを運用できると業務効率化につながり、従業員からの不満も生じにくくなる。
 このようなデバイス制御機能は、IT資産管理ツールの機能の一部として組み込まれている。IT資産管理ツールは、そもそもは保有するハードウェアやソフトウェアの情報をネットワーク経由で収集し、現状を速やかに把握して運用管理に役立てるためのツール。それにさまざまな機能がつけ加えられて、現在ではデバイス制御機能が標準的なものになってきている。ツールによっては、USBデバイスの期限つきの使用許可をIT資産管理ツールを通して管理者に申請し、管理者が承認したら、申請された期間のみ、USBデバイスの使用ができるようにするものもある。
 また、使用禁止にするのではなく、USBメモリなどの接続時にPCに警告メッセージを表示する設定ができるツールもある。メッセージによってポリシー外の行動であること知らしめ、ポリシーの存在を改めて確認してもらい、意識を高める効果がある。
 なお、USBメモリの中には暗号化機能をもつものがある。どうしてもUSBメモリで情報を持ち歩く必要がある場合はこうした製品を用いるとよい。

…この記事の続きは、会員限定です。  会員登録はこちら(無料)

続きを読むには・・・

会員登録をすると自動的にこの記事に戻り、続きが読めます。

会員登録(無料)・ログイン

このページの先頭へ

ログ管理/社員のポリシー違反を事前に察知したい」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「ログ管理」関連情報をランダムに表示しています。

ログ管理」関連の製品

システム間データ連携ソリューション 「DataSpider Servista」 【セゾン情報システムズ】 IT資産管理・情報漏えい対策 LanScope Cat 【エムオーテックス】 ITシステム変更管理ソフトウェア Netwrix Auditor 【ラネクシー】
EAI IT資産管理 統合ログ管理
企業内に散在するデータを活用し、素早く簡単に目的とする処理サービスを作るソフトウェア
●プログラミング不要
●開発支援機能、多彩な連携機能、豊富な運用支援機能装備
IT資産管理、操作ログ管理、マルウェア対策、ファイル配布、各種レポートやリモートコントロールなど、セキュリティ対策やIT資産管理に必要な機能を網羅したパッケージ。 ネットワーク上に蓄積されたActive Directoryやファイルサーバなどの様々な変更ログを一元管理し、セキュリティ情報や稼働情報などのレポートを自動生成。

ログ管理」関連の特集


オフィスを侵食し続ける書類の山に「心がけ」で対処する時代はもう終わり。半ば強制的に紙を減らす最新ノウ…



情報漏洩の大半が内部犯行によるデータベースの不正使用が原因。実際の事件を教訓に、DBセキュリティへの…



各企業の情報漏洩対策などへの投資により安定した規模で推移している同市場。エンドユーザ開拓に注力するシ…


ログ管理」関連のセミナー

次世代セキュリティソリューションセミナー 【主催:アシスト 共催:インフォサイエンス】 締切間近 

開催日 6月28日(水)   開催地 東京都   参加費 無料

現在、様々なメディアで報じられている「WannaCry(ワナクライ)」と呼ばれるランサムウェアをはじめ、「標的型攻撃」の脅威は留まるところを知りません。対象者(…

このページの先頭へ

ログ管理/ 社員のポリシー違反を事前に察知したい」の記事を一部ご紹介しました。
会員登録を行い、ログインすると、「ログ管理/ 社員のポリシー違反を事前に察知したい」の記事の続きがお読みいただけます。


Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


30004603


IT・IT製品TOP > 中堅中小企業 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ