情報漏洩のリスクを防ぐ資産管理ツールと人の教育
- INDEX
-
ある日突然、企業を存続の危機に追い込む「情報漏洩」のリスク
それまで何の問題もなく平穏無事に営業していた会社にも、ある日突然降りかかってくる恐れがあるのが、情報漏洩のリスクです。2016年には日本国内で報道された範囲だけでも、約470件のインシデントにより1400万人分の個人情報が漏洩したとされています。
いったん情報漏洩が起きると、会社の信用を大きく傷つけるだけでなく、過去には対象者への補償金だけで200億円を要した事例もあるなど、調査・賠償等に巨額の出費を強いられて、会社存続の危機に追い込まれるケースも少なくありません。
何段階もの防壁で情報漏洩リスクを減らす「多層防御」が欠かせない
重要なものを「守る」ために欠かせないのが、何段階もの防壁によって安全を確保する「多層防御」の考え方です。情報漏洩のリスクに対しては、どのような「多層防御」を考えれば良いのでしょうか?
情報漏洩リスクへの防御は「脅威」が存在する方向に合わせて多層防御を用意しなければなりません。
企業に情報漏洩リスクをもたらす脅威は、おおまかに外部と内部の2面からやってきます。外部とは、インターネットの向こうにいる正体不明の何者かによるコンピュータウイルス等を介して情報が漏洩するもの、内部とは、社員や取引先のように物理的に社内に入れる人間の故意または過失によるリスクです。
多層防御の仕組みは、多層防御で外部の脅威対策、内部脅威への対策と、それぞれについて考える必要があります。
外部脅威への対策
~ネットワーク越しの標的型攻撃による情報漏洩を防ぐために必要なこと~
IPA(情報処理推進機構)がまとめた「情報セキュリティ10大脅威2018」の第1位にランキングされているのが「標的型攻撃」という脅威で、外部からの情報漏洩リスクの代表格と言えます。
これは特定の組織のみに狙いを定め、相手方組織のことをよく調べたうえで、メールやWebを通してマルウェア(コンピュータウイルスなどの不正なプログラムの総称)を送り込み、内部のPCを遠隔操作して情報入手を試みる方法です。
複数の手法を組み合わせて、長期間手を変え品を変え巧妙に弱点を突いた攻撃をしてくることが特徴で、どんなに高性能なウイルス対策ソフトウェアを使っても、「第1段階」と言われるマルウェアの侵入を完全に防ぐことは不可能とされています。だからこそ、「情報流出」を防ぐためには、第2段階以降で守る多層防御が重要になります。
標的型攻撃による情報流出を防ぐために、
- すでに知られているマルウェアの侵入を防ぐ
- 未知のマルウェアの活動を検知し駆除する
- PC自体のOSやアプリケーションに含まれる脆弱性を解消する
- 不要な個人情報をPC上に保管しない
- 個人情報を含むデータファイルを暗号化しておく
といった方法を組み合わせて、多層防御体制を構築します。
内部脅威への対策
~社内にいる人間による情報漏洩を防ぐために必要なこと~
社内にいる人間が情報漏洩を図るときは、「第一段階」と言われるマルウェア侵入を必要とせず、USBメモリやCD/DVD、紙などの物理媒体で情報を持ち出せるため、それに見合った防御手段が必要です。また、外部からの標的型攻撃とは違って実行者が内部にいる場合は、特定しやすいため、心理的な牽制が有効に働きます。
内部不正による情報漏洩を防ぐためには、
- 情報を持ち出す手段となりうる記録媒体の使用を制限する
- PC操作のログを取る
- 不要な個人情報をPC上に保管しない
- 個人情報を含むデータファイルを暗号化しておく
といった方法を組み合わせて、多層防御体制を構築することが有効です。
外部、内部それぞれの脅威からの情報漏洩対策に役立つツールとは?
PCからの情報漏洩を防ぐセキュリティ対策は、それぞれの目的に合ったツールを組み合わせて構築します。具体的には下記のようなツールがあります。
ウイルス対策
メール送受信、Webアクセス、コンピュータ内のファイルなどに潜む、標的型攻撃に使われるウイルスなどのマルウェアを検知します。
未知の脅威対策
標的型攻撃に多用される、パターンファイルでは発見できない新種・亜種のマルウェア対策として、その「活動」を手がかりに発見します。
Webフィルタリング
「PCからアクセスできるWebサイトの範囲をさまざまな条件で制限し、標的型攻撃の入口・出口になり得るWebサイトへの接続を防ぎます。
個人情報検索
PC内に放置されているファイルを検索して個人情報が含まれるものを洗い出し、どこにどんな個人情報が存在するかを「棚卸」することができます。
PC操作ログ管理
ファイルのコピー、移動、名前変更、印刷、メール添付、Web閲覧、Webフォーム送信など、PCの操作全般のログを取るとともに、対象ファイルの種類に応じて禁止操作を設定して、「個人情報をUSBメモリに書き込もうとしたら警告し禁止する」といった管理ができます。
デバイス制御
USBメモリ、SDカード、CD/DVD、Bluetoothなど、PCからのデータ持ち出しに使われるデバイスの使用に制限を与えます。デバイスのグループやユーザーごとの制限、申請による例外処置などの柔軟な運用が可能です。
不正PC遮断
管理されていない未登録のPCが社内LANに接続されることを防ぎます。ランサムウェアに感染したPCのLAN接続を速やかに遮断することも可能です。
ファイル制御・暗号化
機密情報の悪用を防ぐ対策として、ファイルの暗号化、閲覧やコピー操作の制限、アクセスログの取得、遠隔削除などを可能にします。
脆弱性対策
OSやアプリケーションの脆弱性情報を収集し、社内で使用しているPCで該当するものに自動的に更新プログラム(パッチ)を適用します。
ツールの実効性を担保するためには「人」の教育も欠かせない
多層防御をシステム面で実現するためのツールは多様なものが存在しますが、どんなシステムにしても運用するのは人間である以上、その実効性を担保するためには人の教育や組織風土にも気を配る必要があります。
たとえば標的型攻撃の第1段階では、正規の取引先からの通信を装ったスパムメールやWebサイトを通じて、ウイルス対策ソフトウェアに検知されない新種のマルウェアを送り込む手口がよく使われます。
そこでメール受信者が、それを察知して添付ファイルの開封を避けられるかどうかが多層防御の成否を大きく左右しますが、現代ではその偽装が非常に巧妙に行われているため、何の訓練も無しに見抜くのは極めて難しいのが現実です。
第1段階での防御の効率を上げるためには、現場の担当者一人一人のセキュリティ知識を強化するための教育が欠かせません。
マルウェア感染は必ず起こることを想定したワークフローの整備と
組織風土改善が必要
巧妙に偽装されたメールであったとしても何らかの不自然さはあることが多く、開封後(マルウェア感染後)でもそれに気づいて迅速に管理者に報告できれば、情報漏洩が起きる前に手を打つことが可能です。
しかし、以下のような傾向のある組織では、ここで迅速な対応ができず多層防御に破綻が生じ、情報漏洩を阻止できない可能性が高くなります。
- 管理者への報告の重要性が周知されていない
- 報告のワークフローが確立していない
- 実際に報告をすると管理者が面倒くさがる
- 受信者個人のミスとして責任追及を始める
まとめ:多様なツールの連携が取れるワンストップのソリューションで
多層防御体制を構築しよう
一方で、セキュリティ対策を強化すると、どうしても日常運用の利便性を損なう傾向があるため、こまめな懸念事項の報告/対応に手間がかかりすぎると、手抜き/形骸化が横行しがちです。
これを防ぐためには、管理者/一般ユーザーの双方にとって負担が少ない、楽に使えるツールでなければなりません。
多層防御に必要な「多様なツール」をバラバラに導入していると、相互の連携が取れず、操作性も不統一で運用に手間がかかり、コスト的にも割高になりがちです。
多層防御体制の構築は、多様なツールの連携が取れるワンストップのソリューションをベースに行うことが推奨されます。