ポリシー外のアクセスは全部「不正」!アクセス制御対策

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

ポリシー外のアクセスは全部「不正」!アクセス制御対策

2015/05/26


 内部からの情報漏洩を防ぐための対策を考える連載第2回目の今回は、前回の「ログ管理」とともに重要な「アクセス制御」に焦点を当てていく。アクセス制御は、サービスやデバイスを単純に「使用禁止」することではない。ユーザーがシステムを自由に利用しながら、自分に与えられた権限を越える情報利用を個人の一存ではできないようにし、利用可否を個人の判断でなく、企業のポリシーで決めることと考えるとよいだろう。最終的にユーザーの良識が必要な部分が残るのは否めないが、できるだけユーザー個人の判断を必要とせず、システム上、あるいはワークフロー上でポリシー外の情報アクセスを防ぐ仕組みづくりが必要だ。言うは易く行うは難いこのアクセス制御をどうすればうまく実現できるのか、今回は考えてみる。

情報漏洩

デバイス制御とシステムへのアクセス制御の弱点が重大情報漏洩事件に

 内部不正による情報漏洩の典型例は、昨年明らかになった約3504万件(換金された漏洩人数)の大規模個人情報漏洩事件だろう。延べ件数にすれば約2億1639万件という大量の個人情報の持ち出しが行われていた。この事件の背後には、次のようなセキュリティ上の弱点が指摘されている。

◯死角となったスマートフォンへのデータ書き出し
 外部への情報持ち出しにはスマートフォンが利用された。かねてからUSBメモリなど外部記憶媒体への情報書き出しは大規模情報漏洩を引き起こしかねないことから、一般にデバイス制御機能を持つIT資産管理ツールなどの情報漏洩対策ツールや、Active Directoryのグループポリシーなどを利用した利用制限が行われてきた。漏洩した企業でも情報書き出し制限は行われていたが、比較的新しい記憶媒体であるスマートフォンや携帯音楽プレーヤーが利用するデータ転送プロトコルのMTP(Media Transfer Protocol)への書き出し制限対策が十分ではなかったようだ。

◯SEのアクセス権限の付与と管理が不十分
 情報を持ち出したのは、業務委託先からの派遣SEだった。派遣SEは漏洩企業の各種サービスの利用者情報にアクセスし、スマートフォンに情報をコピーした。個人情報が格納されたデータベースには、業務担当者が管理者の承認を得てアクセス付与申請をし、受付部門が業務に必要と判断したらアクセス権限が付与されるワークフローができていたという。ただしアクセス権限の見直しは定期的に行われていたわけではない。またデータベース内の個人情報を細かく分類し、分類ごとに異なるアクセス権限を設定する対策はとられていなかった。加えて、個人情報はマーケティング分析業務などに必要な部分だけを利用するように抽象化や属性化が行われていなかったとされている(漏洩企業の事後の調査報告書より)。

 こうした背景から、図1のような形で顧客情報は派遣SEのスマートフォンにコピーされ、外部の名簿業者に売られてしまった。図の下部に、前回紹介したIPAによる「内部不正防止の基本5原則」に即して、SEが考えたであろうことを加えてみた。5原則が徹底されていなかったことが、不正行為を誘ったと考えられる。

図1 大規模個人情報漏洩事件の概略 
図1 大規模個人情報漏洩事件の概略 

◯デバイスとシステムへのアクセス制御の弱点が不正を誘う
 従業員の意識の問題や情報保護への組織的体制など、他にもいくつかの弱点が指摘されてはいる。とはいえ、早い時点で情報漏洩の経緯を明らかにし、実行者を特定できたのは、ログの取得・保管が行われていたからに違いない。もし適切にログの監査が行われていれば、顧客からのクレームを待たずに、自社で情報漏洩の事実に気がつけたかもしれない。しかしセキュリティ上の明らかな欠陥は、業務上必要最小限のデータへのアクセスだけができるようなアクセス制御やデータベース運用が行われていなかったことと、外部記憶デバイスへの情報書き出し制限に漏れがあったことだ。

 この事件の反省に立ち、漏洩企業は組織体制もセキュリティ体制も大きく改めている最中だ。この事件を教訓に、以下では特に「デバイス制御」と「情報へのアクセス制御」がどうあるべきかを考えてみよう。


1

情報の出口を塞ぎ、外に出た情報を保護する対策

 まず、比較的対策が容易な、機密情報が外部に持ち出されないようにする対策と、業務上の必要があって持ち出された場合でも情報を保護する対策についてポイントを挙げてみよう。

1-1

情報を外部に持ち出されないようにする「デバイス制御」

 大規模な情報漏洩はUSBメモリなどの外部記憶媒体への情報書き込みが1つの原因になっている。ポータブルHDD、光学ディスク、フラッシュメモリ、PCそのもの、スマートフォンなどが企業内で使われており、もちろん私物の持ち込みも想定しなければならない。携帯音楽プレーヤーもその1つだ。今後は他の最新ポータブルデバイスがますます増えていくだろう。私物デバイスが企業の機密情報を取り扱う場所にまで持ち込まれることには大きなリスクがある。
 これらについては、まず持ち込み制限をルールとして確立する必要がある。私物デバイスの管理は企業側では困難で、たとえ利用者に悪意はなくとも、操作ミスやウイルス感染による情報流出が起きないとも限らない。内部不正発覚後に私物デバイスを提供してもらえるとは限らず、調査も難航しそうだ。

【対策】
 まず、私物デバイスの業務利用の許可をするかしないかが問題だ。許可する場合は利用する業務範囲を絞り、順守事項等のルールを整備して、書面で承諾を得るとよい。またデバイスを企業ネットワークに接続できるようにする時は、セキュリティ対策が十分施されていることを条件にし、許可されたシステムやサービスだけにアクセスできるようにしておく。管理者の承認を得ずに勝手に接続されるのを防ぐには、デバイス制御機能のある管理ツール検疫ネットワークなどにより、一定の条件を満たすデバイス以外は接続を拒否するようにするとよいだろう。
 また重要情報にアクセスしやすいのは通常運用管理担当者だけが出入りするシステムエリアであり、一般業務を行うエリアとは明確に区画を分け、人とデバイスの出入りを制限する。入退室管理ツールは物理的な出入りの制限に直接役立ち、また入退室ログをとることで不正の抑止や不正行為者の特定にも効果がある。原則としてシステムエリアでは私物デバイスはすべて持ち込みと利用を禁止する。持ち込み禁止ルールは誰でもわかるようにポスターなどで入口などに掲示しておくとよい。
 USBメモリなど記録媒体は全面利用禁止にすると安心だが、業務効率面からそうもいかない場合が多い。利用する場合は会社貸与品のみとし、私物は持ち込み禁止とするのがよいだろう。勝手な持ち込みと利用を防止するには、IT資産管理ツールなどの情報漏洩対策ツールが備えるデバイス制御機能が役立つ。ツールによってはデバイスのホワイトリスト運用が可能になり、会社貸与品以外の利用を拒否できる。記憶媒体だけでなく、カメラやBluetooth、赤外線などのデバイスについても機種を判別して利用拒否を可能にするツールもある。もちろんスマートフォンなどの新しいデバイスにも対応している。
 加えて無線LANアクセスポイント(AP)の利用制限を簡単にするツールも登場している。公衆無線LANや私物Wi-Fiルーター、スマートデバイスのテザリング機能、あるいはいわゆる「野良AP」、「偽AP」との接続を禁止し、企業が設置した正当なAPだけに接続させることができる。
 さらに、予算がとれる場合はPCをシンクライアント端末に変える選択もある。情報を書き出したくとも外部デバイスへの接続口がない端末ならそもそもできない。データはすべてサーバー側にあり、処理もサーバー側で行うのがシンクライアントで、VDIをはじめいくつかの方式がある。

セキュリティ情報局にご登録頂いた方限定で「ポリシー外のアクセスは全部「不正」!アクセス制御対策」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


情報漏洩/ポリシー外のアクセスは全部「不正」!アクセス制御対策」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「情報漏洩」関連情報をランダムに表示しています。

情報漏洩」関連の製品

IT資産管理ソフトSS1<System Support best1> 【ディー・オー・エス】 ファイルサーバアクセス統合管理製品 『Varonis DatAdvantage』 【ノックス】 ファイルの暗号化と閲覧停止 秘文 Data Protection 【日立ソリューションズ】
IT資産管理 サーバー管理 暗号化
IT機器などの最新情報をリアルタイムに把握・可視化し、資産・セキュリティ・ログの管理を効率化する。新機能のソフトウェア資産管理機能でコンプライアンス強化も支援。 ファイルサーバのアクセス権限を統合的に管理できるファイルサーバアクセス統合管理製品。アクセス制限の棚卸し、可視化、監査、ファイルサーバ運用の効率化を実現する。 ファイルの暗号化と社外に渡した後でも閲覧停止にできる機能で、情報の不正利用や拡散を防止。
流出の予兆を自動的に検知する機能やファイルの編集禁止機能も搭載。

情報漏洩」関連の特集


多様化するワークスタイルに対応するための機能強化が進むグループウェア。今回はその最新事情をご紹介しま…



ウイルスの影響で抜本的な見直しを迫られるクライアント管理。今回はその考え方をイチから整理した上でブレ…



情報漏洩の原因の半数以上が紙媒体から…そこで生まれたのが「紙の暗号化」技術。暗号化した印刷物を、ケー…


情報漏洩」関連のセミナー

データ消去ソフト ディスクシュレッダー6 製品紹介セミナー 【パーソナルメディア】  

開催日 11月29日(水),12月6日(水),12月20日(水),1月17日(水),1月31日(水)   開催地 東京都   参加費 無料

データ消去ソフト「ディスクシュレッダー6」の製品紹介セミナーです。実機を用いたデモンストレーションなど、実際の消去作業をご覧いただきながら、製品説明をいたします…

SS1オンラインセミナー 【ディー・オー・エス】  

開催日 12月15日(金)〜8月31日(金)   開催地 オンラインセミナー   参加費 無料

株式会社ディー・オー・エスでは、IT資産管理ソフト「System Support best1(SS1)」を用いた、IT資産管理/情報漏洩対策の課題解決をテーマと…

事例から学ぶ特権ID管理セミナー:製品選定のポイントと活用事例 【NTTテクノクロス】  

開催日 1月24日(水),2月15日(木)   開催地 東京都   参加費 無料

IT統制の取り組みがスタートし、IT全般統制などの法令監査において特権IDの管理に関する監査が、年々厳しさを増しています。また、マイナンバーやPCI DSSなど…

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30007765


IT・IT製品TOP > エンドポイントセキュリティ > ID管理 > ID管理のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ