社員のポリシー違反を事前に察知したい

この記事をtweetする このエントリーをはてなブックマークに追加

社員のポリシー違反を事前に察知したい

2012/08/30


 情報漏洩は、内部の従業員の行動に起因することが多い。多くの企業ではセキュリティポリシーを策定し、それに沿ったセキュリティ対策や業務運用を図っている。しかし、ポリシーに反した行動をとってしまう従業員は必ず出てくる。多くはうっかりミスだが、ときには悪意を持って書類を社外に持ち出すような反社会的な行動をとる者もいる。経営に重要な支障をもたらしかねないこうした従業員の行動に、どう統制をかければよいか悩む企業も多いだろう。ITツールですべて解決とはいかないが、従業員がポリシーを知り、遵守する仕組みづくりの一環として、ITツールは役に立つ。

 【1】従業員のハイリスクなPC操作を禁止する 
 【2】従業員のPC操作のログをとり、行動を管理する
 【3】複数システムとネットワークのログを相関分析する 

 【1】はUSBへの情報コピーの禁止などをする、【2】はPC操作履歴を監視し、不正行為の抑止につながる、【3】はサーバへのアクセスなどを中心にリスクの高い行動が割り出せる方法だ。以下、詳細を見ていこう。

※「ログ管理/社員のポリシー違反を事前に察知したい」の記事を一部ご紹介します。会員登録を行い、 ログインすると、「ログ管理/社員のポリシー違反を事前に察知したい」の記事全文がお読みいただけます。

会員登録はこちら(無料)



解決策1

従業員のハイリスクなPC操作を禁止する

 基本的にPCでUSBメモリやCD-R、外付けHDDなどの外部記憶媒体を利用しないポリシーを作り、ツールを適用して強制的に遵守させることが、1つの情報漏洩防止策になる。
 情報漏洩の原因のトップは「紛失・置き忘れ」「盗難」「誤操作」だ。これは従業員の不注意によって起きることがほとんど。紙の資料からの情報漏洩が一番多いのだが、なかには社内文書をコピーしたUSBメモリやCD-Rなどを紛失したりすることもある。コピーできる容量が大きいだけにリスクは高い。
 そこで外部記憶媒体使用禁止のポリシーが一般化している。しかし特にUSBメモリは使い勝手がよいため、いくら書類に記して口頭で言っても、従業員に徹底できないのが通例だ。そのため、強制的にUSBなどの外部媒体をPCで使用できないようにするケースが少なくない。デバイスの使用禁止は、OSの設定で行える。またActive Directoryを利用している場合はグループポリシーで一括して複数のPCに設定を適用することも可能だ。
 しかし実際にはもう少し柔軟性のあるルールのほうが望ましい。例えばUSBデバイスは禁止するが、バックアップ用に外付けHDDは許可する、SDカード等のメモリはデジタルカメラの情報等を利用することが多ければ許可する、さらに申請して許可され、管理ツールに登録済みのUSBメモリだけを使用許可する、などといった、さまざまな選択肢で禁止ルールを運用できると業務効率化につながり、従業員からの不満も生じにくくなる。
 このようなデバイス制御機能は、IT資産管理ツールの機能の一部として組み込まれている。IT資産管理ツールは、そもそもは保有するハードウェアやソフトウェアの情報をネットワーク経由で収集し、現状を速やかに把握して運用管理に役立てるためのツール。それにさまざまな機能がつけ加えられて、現在ではデバイス制御機能が標準的なものになってきている。ツールによっては、USBデバイスの期限つきの使用許可をIT資産管理ツールを通して管理者に申請し、管理者が承認したら、申請された期間のみ、USBデバイスの使用ができるようにするものもある。
 また、使用禁止にするのではなく、USBメモリなどの接続時にPCに警告メッセージを表示する設定ができるツールもある。メッセージによってポリシー外の行動であること知らしめ、ポリシーの存在を改めて確認してもらい、意識を高める効果がある。
 なお、USBメモリの中には暗号化機能をもつものがある。どうしてもUSBメモリで情報を持ち歩く必要がある場合はこうした製品を用いるとよい。

…この記事の続きは、会員限定です。  会員登録はこちら(無料)

続きを読むには・・・

会員登録をすると自動的にこの記事に戻り、続きが読めます。

会員登録(無料)・ログイン

このページの先頭へ

ログ管理/社員のポリシー違反を事前に察知したい」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「ログ管理」関連情報をランダムに表示しています。

ログ管理」関連の製品

Mobile Perfect SP イベント支援 サービス 【ソフトバンク コマース&サービス】 システム間データ連携ソリューション 「DataSpider Servista」 【セゾン情報システムズ】 IT資産管理ソフトSS1<System Support best1> 【ディー・オー・エス】
その他スマートデバイス関連 EAI IT資産管理
気軽に簡単にスマートフォンを活用できるクラウド型イベント支援サービス。ほかにもさまざまなサービスを揃え、自社のニーズに合わせて必要なものを利用できる。 企業内に散在するデータを活用し、素早く簡単に目的とする処理サービスを作るソフトウェア
●プログラミング不要
●開発支援機能、多彩な連携機能、豊富な運用支援機能装備
IT機器などの最新情報をリアルタイムに把握・可視化し、資産・セキュリティ・ログの管理を効率化する。新機能のソフトウェア資産管理機能でコンプライアンス強化も支援。

ログ管理」関連の特集


外部からの攻撃ばかりでなく、内部での情報の不正利用を防ぐ情報漏洩対策が重要視されている。そこで注目し…



PCのログを監視するツールですが、解りにくいログではありません!録画したり、悪いPCを隔離などスゴイ…



 アイデンティティ管理と並んで、IT内部統制やセキュリティ管理策として重要なものとして、アクセスログ…


ログ管理」関連のセミナー

事例から学ぶ特権ID・監査ログ管理実践セミナー 【NRIセキュアテクノロジーズ】  

開催日 6月15日(木)   開催地 東京都   参加費 無料

IT全般統制の不備に対する監査法人からの指摘への対応、PCI DSS認定時のアクセス管理要件への適応、リモート作業時のアクセス制御・ログ取得など、現在様々な要件…

このページの先頭へ

ログ管理/ 社員のポリシー違反を事前に察知したい」の記事を一部ご紹介しました。
会員登録を行い、ログインすると、「ログ管理/ 社員のポリシー違反を事前に察知したい」の記事の続きがお読みいただけます。


Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


30004603


IT・IT製品TOP > 中堅中小企業 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ