ポリシー外のアクセスは全部「不正」!アクセス制御対策

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

ポリシー外のアクセスは全部「不正」!アクセス制御対策

2015/05/26


 内部からの情報漏洩を防ぐための対策を考える連載第2回目の今回は、前回の「ログ管理」とともに重要な「アクセス制御」に焦点を当てていく。アクセス制御は、サービスやデバイスを単純に「使用禁止」することではない。ユーザーがシステムを自由に利用しながら、自分に与えられた権限を越える情報利用を個人の一存ではできないようにし、利用可否を個人の判断でなく、企業のポリシーで決めることと考えるとよいだろう。最終的にユーザーの良識が必要な部分が残るのは否めないが、できるだけユーザー個人の判断を必要とせず、システム上、あるいはワークフロー上でポリシー外の情報アクセスを防ぐ仕組みづくりが必要だ。言うは易く行うは難いこのアクセス制御をどうすればうまく実現できるのか、今回は考えてみる。

情報漏洩

デバイス制御とシステムへのアクセス制御の弱点が重大情報漏洩事件に

 内部不正による情報漏洩の典型例は、昨年明らかになった約3504万件(換金された漏洩人数)の大規模個人情報漏洩事件だろう。延べ件数にすれば約2億1639万件という大量の個人情報の持ち出しが行われていた。この事件の背後には、次のようなセキュリティ上の弱点が指摘されている。

◯死角となったスマートフォンへのデータ書き出し
 外部への情報持ち出しにはスマートフォンが利用された。かねてからUSBメモリなど外部記憶媒体への情報書き出しは大規模情報漏洩を引き起こしかねないことから、一般にデバイス制御機能を持つIT資産管理ツールなどの情報漏洩対策ツールや、Active Directoryのグループポリシーなどを利用した利用制限が行われてきた。漏洩した企業でも情報書き出し制限は行われていたが、比較的新しい記憶媒体であるスマートフォンや携帯音楽プレーヤーが利用するデータ転送プロトコルのMTP(Media Transfer Protocol)への書き出し制限対策が十分ではなかったようだ。

◯SEのアクセス権限の付与と管理が不十分
 情報を持ち出したのは、業務委託先からの派遣SEだった。派遣SEは漏洩企業の各種サービスの利用者情報にアクセスし、スマートフォンに情報をコピーした。個人情報が格納されたデータベースには、業務担当者が管理者の承認を得てアクセス付与申請をし、受付部門が業務に必要と判断したらアクセス権限が付与されるワークフローができていたという。ただしアクセス権限の見直しは定期的に行われていたわけではない。またデータベース内の個人情報を細かく分類し、分類ごとに異なるアクセス権限を設定する対策はとられていなかった。加えて、個人情報はマーケティング分析業務などに必要な部分だけを利用するように抽象化や属性化が行われていなかったとされている(漏洩企業の事後の調査報告書より)。

 こうした背景から、図1のような形で顧客情報は派遣SEのスマートフォンにコピーされ、外部の名簿業者に売られてしまった。図の下部に、前回紹介したIPAによる「内部不正防止の基本5原則」に即して、SEが考えたであろうことを加えてみた。5原則が徹底されていなかったことが、不正行為を誘ったと考えられる。

図1 大規模個人情報漏洩事件の概略 
図1 大規模個人情報漏洩事件の概略 

◯デバイスとシステムへのアクセス制御の弱点が不正を誘う
 従業員の意識の問題や情報保護への組織的体制など、他にもいくつかの弱点が指摘されてはいる。とはいえ、早い時点で情報漏洩の経緯を明らかにし、実行者を特定できたのは、ログの取得・保管が行われていたからに違いない。もし適切にログの監査が行われていれば、顧客からのクレームを待たずに、自社で情報漏洩の事実に気がつけたかもしれない。しかしセキュリティ上の明らかな欠陥は、業務上必要最小限のデータへのアクセスだけができるようなアクセス制御やデータベース運用が行われていなかったことと、外部記憶デバイスへの情報書き出し制限に漏れがあったことだ。

 この事件の反省に立ち、漏洩企業は組織体制もセキュリティ体制も大きく改めている最中だ。この事件を教訓に、以下では特に「デバイス制御」と「情報へのアクセス制御」がどうあるべきかを考えてみよう。


1

情報の出口を塞ぎ、外に出た情報を保護する対策

 まず、比較的対策が容易な、機密情報が外部に持ち出されないようにする対策と、業務上の必要があって持ち出された場合でも情報を保護する対策についてポイントを挙げてみよう。

1-1

情報を外部に持ち出されないようにする「デバイス制御」

 大規模な情報漏洩はUSBメモリなどの外部記憶媒体への情報書き込みが1つの原因になっている。ポータブルHDD、光学ディスク、フラッシュメモリ、PCそのもの、スマートフォンなどが企業内で使われており、もちろん私物の持ち込みも想定しなければならない。携帯音楽プレーヤーもその1つだ。今後は他の最新ポータブルデバイスがますます増えていくだろう。私物デバイスが企業の機密情報を取り扱う場所にまで持ち込まれることには大きなリスクがある。
 これらについては、まず持ち込み制限をルールとして確立する必要がある。私物デバイスの管理は企業側では困難で、たとえ利用者に悪意はなくとも、操作ミスやウイルス感染による情報流出が起きないとも限らない。内部不正発覚後に私物デバイスを提供してもらえるとは限らず、調査も難航しそうだ。

【対策】
 まず、私物デバイスの業務利用の許可をするかしないかが問題だ。許可する場合は利用する業務範囲を絞り、順守事項等のルールを整備して、書面で承諾を得るとよい。またデバイスを企業ネットワークに接続できるようにする時は、セキュリティ対策が十分施されていることを条件にし、許可されたシステムやサービスだけにアクセスできるようにしておく。管理者の承認を得ずに勝手に接続されるのを防ぐには、デバイス制御機能のある管理ツール検疫ネットワークなどにより、一定の条件を満たすデバイス以外は接続を拒否するようにするとよいだろう。
 また重要情報にアクセスしやすいのは通常運用管理担当者だけが出入りするシステムエリアであり、一般業務を行うエリアとは明確に区画を分け、人とデバイスの出入りを制限する。入退室管理ツールは物理的な出入りの制限に直接役立ち、また入退室ログをとることで不正の抑止や不正行為者の特定にも効果がある。原則としてシステムエリアでは私物デバイスはすべて持ち込みと利用を禁止する。持ち込み禁止ルールは誰でもわかるようにポスターなどで入口などに掲示しておくとよい。
 USBメモリなど記録媒体は全面利用禁止にすると安心だが、業務効率面からそうもいかない場合が多い。利用する場合は会社貸与品のみとし、私物は持ち込み禁止とするのがよいだろう。勝手な持ち込みと利用を防止するには、IT資産管理ツールなどの情報漏洩対策ツールが備えるデバイス制御機能が役立つ。ツールによってはデバイスのホワイトリスト運用が可能になり、会社貸与品以外の利用を拒否できる。記憶媒体だけでなく、カメラやBluetooth、赤外線などのデバイスについても機種を判別して利用拒否を可能にするツールもある。もちろんスマートフォンなどの新しいデバイスにも対応している。
 加えて無線LANアクセスポイント(AP)の利用制限を簡単にするツールも登場している。公衆無線LANや私物Wi-Fiルーター、スマートデバイスのテザリング機能、あるいはいわゆる「野良AP」、「偽AP」との接続を禁止し、企業が設置した正当なAPだけに接続させることができる。
 さらに、予算がとれる場合はPCをシンクライアント端末に変える選択もある。情報を書き出したくとも外部デバイスへの接続口がない端末ならそもそもできない。データはすべてサーバー側にあり、処理もサーバー側で行うのがシンクライアントで、VDIをはじめいくつかの方式がある。

セキュリティ情報局にご登録頂いた方限定で「ポリシー外のアクセスは全部「不正」!アクセス制御対策」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


情報漏洩/ポリシー外のアクセスは全部「不正」!アクセス制御対策」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「情報漏洩」関連情報をランダムに表示しています。

情報漏洩」関連の製品

ログ管理ツール『ALog SMASH』 【網屋】 内部ネットワーク監視ソリューション「VISUACT」 【ギガ+他】 NetRAPTOR 【トーテックアメニティ】
統合ログ管理 統合ログ管理 フォレンジック
サーバにある重要データに「いつ、誰が、何をしたか」を記録する製品。対象サーバに直接インストールするため、ログサーバが不要。PCへのエージェントインストールも不要。 ・ファイルサーバのアクセスログを生成する
・内部ネットワークに侵入したマルウェアの拡散活動を記録する
大容量データも逃さずキャプチャ。添付ファイルも含めた日本語全文検索、リアルタイム通知など、機能充実の国産ネットワークフォレンジックサーバ。

情報漏洩」関連の特集


これまでの業務を抜本的に改革できそうなウェアラブルデバイス。でも様々な製品から自社に合ったものを選ぶ…



ISPの無料サービスでおなじみのWebメール。その便利さを活かしつつセキュリティ対策もバッチリの企業…



情報流出、データ改ざん…Webサイトを狙う攻撃は後を絶ちません。実際の被害事例から現状のセキュリティ…


情報漏洩」関連のセミナー

クラウド活用のためのセキュリティ対策 【インフォコム株式会社】 注目 

開催日 7月6日(木)   開催地 東京都   参加費 無料

〜 Office 365やBoxなどのクラウドサービス導入に、セキュリティの不安を感じていませんか? 〜 ビジネスのさまざまな場面でクラウドサービス利用が広がる…

事例から学ぶ特権ID管理セミナー:製品選定のポイントと活用事例 【NTTテクノクロス】  

開催日 8月4日(金)   開催地 大阪府   参加費 無料

IT統制の取り組みがスタートし、IT全般統制などの法令監査において特権IDの管理に関する監査が、年々厳しさを増しています。また、マイナンバーやPCI DSSなど…

Citrix XenApp/XenDesktop 製品紹介セミナー 【アシスト】  

開催日 8月2日(水)   開催地 東京都   参加費 無料

業務アプリケーションの仮想化以外にも、BYODや在宅勤務などのワークスタイル変革、情報漏洩対策など、クライアント仮想化の利用シーンが広がってきています。本セミナ…

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30007765


IT・IT製品TOP > エンドポイントセキュリティ > ID管理 > ID管理のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ