ポリシー外のアクセスは全部「不正」!アクセス制御対策

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

ポリシー外のアクセスは全部「不正」!アクセス制御対策

2015/05/26


 内部からの情報漏洩を防ぐための対策を考える連載第2回目の今回は、前回の「ログ管理」とともに重要な「アクセス制御」に焦点を当てていく。アクセス制御は、サービスやデバイスを単純に「使用禁止」することではない。ユーザーがシステムを自由に利用しながら、自分に与えられた権限を越える情報利用を個人の一存ではできないようにし、利用可否を個人の判断でなく、企業のポリシーで決めることと考えるとよいだろう。最終的にユーザーの良識が必要な部分が残るのは否めないが、できるだけユーザー個人の判断を必要とせず、システム上、あるいはワークフロー上でポリシー外の情報アクセスを防ぐ仕組みづくりが必要だ。言うは易く行うは難いこのアクセス制御をどうすればうまく実現できるのか、今回は考えてみる。

情報漏洩

デバイス制御とシステムへのアクセス制御の弱点が重大情報漏洩事件に

 内部不正による情報漏洩の典型例は、昨年明らかになった約3504万件(換金された漏洩人数)の大規模個人情報漏洩事件だろう。延べ件数にすれば約2億1639万件という大量の個人情報の持ち出しが行われていた。この事件の背後には、次のようなセキュリティ上の弱点が指摘されている。

◯死角となったスマートフォンへのデータ書き出し
 外部への情報持ち出しにはスマートフォンが利用された。かねてからUSBメモリなど外部記憶媒体への情報書き出しは大規模情報漏洩を引き起こしかねないことから、一般にデバイス制御機能を持つIT資産管理ツールなどの情報漏洩対策ツールや、Active Directoryのグループポリシーなどを利用した利用制限が行われてきた。漏洩した企業でも情報書き出し制限は行われていたが、比較的新しい記憶媒体であるスマートフォンや携帯音楽プレーヤーが利用するデータ転送プロトコルのMTP(Media Transfer Protocol)への書き出し制限対策が十分ではなかったようだ。

◯SEのアクセス権限の付与と管理が不十分
 情報を持ち出したのは、業務委託先からの派遣SEだった。派遣SEは漏洩企業の各種サービスの利用者情報にアクセスし、スマートフォンに情報をコピーした。個人情報が格納されたデータベースには、業務担当者が管理者の承認を得てアクセス付与申請をし、受付部門が業務に必要と判断したらアクセス権限が付与されるワークフローができていたという。ただしアクセス権限の見直しは定期的に行われていたわけではない。またデータベース内の個人情報を細かく分類し、分類ごとに異なるアクセス権限を設定する対策はとられていなかった。加えて、個人情報はマーケティング分析業務などに必要な部分だけを利用するように抽象化や属性化が行われていなかったとされている(漏洩企業の事後の調査報告書より)。

 こうした背景から、図1のような形で顧客情報は派遣SEのスマートフォンにコピーされ、外部の名簿業者に売られてしまった。図の下部に、前回紹介したIPAによる「内部不正防止の基本5原則」に即して、SEが考えたであろうことを加えてみた。5原則が徹底されていなかったことが、不正行為を誘ったと考えられる。

図1 大規模個人情報漏洩事件の概略 
図1 大規模個人情報漏洩事件の概略 

◯デバイスとシステムへのアクセス制御の弱点が不正を誘う
 従業員の意識の問題や情報保護への組織的体制など、他にもいくつかの弱点が指摘されてはいる。とはいえ、早い時点で情報漏洩の経緯を明らかにし、実行者を特定できたのは、ログの取得・保管が行われていたからに違いない。もし適切にログの監査が行われていれば、顧客からのクレームを待たずに、自社で情報漏洩の事実に気がつけたかもしれない。しかしセキュリティ上の明らかな欠陥は、業務上必要最小限のデータへのアクセスだけができるようなアクセス制御やデータベース運用が行われていなかったことと、外部記憶デバイスへの情報書き出し制限に漏れがあったことだ。

 この事件の反省に立ち、漏洩企業は組織体制もセキュリティ体制も大きく改めている最中だ。この事件を教訓に、以下では特に「デバイス制御」と「情報へのアクセス制御」がどうあるべきかを考えてみよう。


1

情報の出口を塞ぎ、外に出た情報を保護する対策

 まず、比較的対策が容易な、機密情報が外部に持ち出されないようにする対策と、業務上の必要があって持ち出された場合でも情報を保護する対策についてポイントを挙げてみよう。

1-1

情報を外部に持ち出されないようにする「デバイス制御」

 大規模な情報漏洩はUSBメモリなどの外部記憶媒体への情報書き込みが1つの原因になっている。ポータブルHDD、光学ディスク、フラッシュメモリ、PCそのもの、スマートフォンなどが企業内で使われており、もちろん私物の持ち込みも想定しなければならない。携帯音楽プレーヤーもその1つだ。今後は他の最新ポータブルデバイスがますます増えていくだろう。私物デバイスが企業の機密情報を取り扱う場所にまで持ち込まれることには大きなリスクがある。
 これらについては、まず持ち込み制限をルールとして確立する必要がある。私物デバイスの管理は企業側では困難で、たとえ利用者に悪意はなくとも、操作ミスやウイルス感染による情報流出が起きないとも限らない。内部不正発覚後に私物デバイスを提供してもらえるとは限らず、調査も難航しそうだ。

【対策】
 まず、私物デバイスの業務利用の許可をするかしないかが問題だ。許可する場合は利用する業務範囲を絞り、順守事項等のルールを整備して、書面で承諾を得るとよい。またデバイスを企業ネットワークに接続できるようにする時は、セキュリティ対策が十分施されていることを条件にし、許可されたシステムやサービスだけにアクセスできるようにしておく。管理者の承認を得ずに勝手に接続されるのを防ぐには、デバイス制御機能のある管理ツール検疫ネットワークなどにより、一定の条件を満たすデバイス以外は接続を拒否するようにするとよいだろう。
 また重要情報にアクセスしやすいのは通常運用管理担当者だけが出入りするシステムエリアであり、一般業務を行うエリアとは明確に区画を分け、人とデバイスの出入りを制限する。入退室管理ツールは物理的な出入りの制限に直接役立ち、また入退室ログをとることで不正の抑止や不正行為者の特定にも効果がある。原則としてシステムエリアでは私物デバイスはすべて持ち込みと利用を禁止する。持ち込み禁止ルールは誰でもわかるようにポスターなどで入口などに掲示しておくとよい。
 USBメモリなど記録媒体は全面利用禁止にすると安心だが、業務効率面からそうもいかない場合が多い。利用する場合は会社貸与品のみとし、私物は持ち込み禁止とするのがよいだろう。勝手な持ち込みと利用を防止するには、IT資産管理ツールなどの情報漏洩対策ツールが備えるデバイス制御機能が役立つ。ツールによってはデバイスのホワイトリスト運用が可能になり、会社貸与品以外の利用を拒否できる。記憶媒体だけでなく、カメラやBluetooth、赤外線などのデバイスについても機種を判別して利用拒否を可能にするツールもある。もちろんスマートフォンなどの新しいデバイスにも対応している。
 加えて無線LANアクセスポイント(AP)の利用制限を簡単にするツールも登場している。公衆無線LANや私物Wi-Fiルーター、スマートデバイスのテザリング機能、あるいはいわゆる「野良AP」、「偽AP」との接続を禁止し、企業が設置した正当なAPだけに接続させることができる。
 さらに、予算がとれる場合はPCをシンクライアント端末に変える選択もある。情報を書き出したくとも外部デバイスへの接続口がない端末ならそもそもできない。データはすべてサーバー側にあり、処理もサーバー側で行うのがシンクライアントで、VDIをはじめいくつかの方式がある。

セキュリティ情報局にご登録頂いた方限定で「ポリシー外のアクセスは全部「不正」!アクセス制御対策」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


情報漏洩/ポリシー外のアクセスは全部「不正」!アクセス制御対策」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「情報漏洩」関連情報をランダムに表示しています。

情報漏洩」関連の製品

PC操作記録 iDoperation SC 【エヌ・ティ・ティ・ソフトウェア】 データエントリーソリューション e-Entry Express+ 【日商エレクトロニクス】 日配食品業向け販売管理システム SkynetDish 【東計電算】
統合ログ管理 帳票管理システム 販売管理システム
サーバーやPCでの操作を録画して残せるPC操作記録ソフトウェア。管理サーバレスでの導入も可能で、初期コストを抑えつつ、より強固な情報漏洩対策を支援する。 申込書や伝票といった帳票の入力業務に必要な機能を取込からエントリー、エクスポートまで備えたWebイメージエントリーツール。企業のデータエントリー業務を効率化する。 日配食品業の業務や商慣習に対応した「販売管理」「購買管理」「製造管理」「在庫管理」を1システムで提供。情報の見える化、合理的かつ効率的な情報管理を実現する。

情報漏洩」関連の特集


 前回はクラウド暗号化技術のご説明の下準備として、従来の暗号技術の説明、特にハードウェア暗号処理の重…



IT担当543人対象に「Web脆弱性診断サービスの導入状況」を調査。導入のきっかけや重視ポイントから…



社内に客先…あらゆるシーンで大活躍するモバイルPC。しかし、その利便性ゆえに高くなるのが紛失や盗難に…


情報漏洩」関連のセミナー

IT資産管理ツール比較セミナー 【ソフトクリエイト】  

開催日 12月15日(木)   開催地 東京都   参加費 無料

情報セキュリティ対策をIT資産の管理からはじめる企業が増えています。しかし、導入する上でメーカーや製品の選択で悩まれている企業のご担当者様が多くいらっしゃいます…

従来のセキュリティ対策を超えて 【日立ソリューションズ】 締切間近 

開催日 12月9日(金)   開催地 大阪府   参加費 無料

クラウドサービスの普及により、これまでのように情報システム部門でネットワークをすべて管理することは非常に困難となっています。従来のセキュリティ対策では、クラウド…

契約書管理がうまくいかない3つの理由とその解決策 【NRIセキュアテクノロジーズ】  

開催日 11月25日(金),1月19日(木)   開催地 東京都   参加費 無料

増え続ける契約書の管理に頭を悩ませている方が多いことと思います。 代表的な理由を挙げれば、・契約書を探すのに手間と時間がかかる、・一括管理ができていないので情報…

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30007765


IT・IT製品TOP > エンドポイントセキュリティ > ID管理 > ID管理のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ