情報漏洩のリスクを防ぐ資産管理ツールと人の教育

INDEX

    ある日突然、企業を存続の危機に追い込む「情報漏洩」のリスク

    それまで何の問題もなく平穏無事に営業していた会社にも、ある日突然降りかかってくる恐れがあるのが、情報漏洩のリスクです。2016年には日本国内で報道された範囲だけでも、約470件のインシデントにより1400万人分の個人情報が漏洩したとされています。

    いったん情報漏洩が起きると、会社の信用を大きく傷つけるだけでなく、過去には対象者への補償金だけで200億円を要した事例もあるなど、調査・賠償等に巨額の出費を強いられて、会社存続の危機に追い込まれるケースも少なくありません。

    何段階もの防壁で情報漏洩リスクを減らす「多層防御」が欠かせない

    重要なものを「守る」ために欠かせないのが、何段階もの防壁によって安全を確保する「多層防御」の考え方です。情報漏洩のリスクに対しては、どのような「多層防御」を考えれば良いのでしょうか?

    情報漏洩リスクへの防御は「脅威」が存在する方向に合わせて多層防御を用意しなければなりません。

    企業に情報漏洩リスクをもたらす脅威は、おおまかに外部と内部の2面からやってきます。外部とは、インターネットの向こうにいる正体不明の何者かによるコンピュータウイルス等を介して情報が漏洩するもの、内部とは、社員や取引先のように物理的に社内に入れる人間の故意または過失によるリスクです。

    多層防御の仕組みは、多層防御で外部の脅威対策、内部脅威への対策と、それぞれについて考える必要があります。


    外部脅威への対策

    ~ネットワーク越しの標的型攻撃による情報漏洩を防ぐために必要なこと~

    IPA(情報処理推進機構)がまとめた「情報セキュリティ10大脅威2018」の第1位にランキングされているのが「標的型攻撃」という脅威で、外部からの情報漏洩リスクの代表格と言えます。

    これは特定の組織のみに狙いを定め、相手方組織のことをよく調べたうえで、メールやWebを通してマルウェア(コンピュータウイルスなどの不正なプログラムの総称)を送り込み、内部のPCを遠隔操作して情報入手を試みる方法です。

    複数の手法を組み合わせて、長期間手を変え品を変え巧妙に弱点を突いた攻撃をしてくることが特徴で、どんなに高性能なウイルス対策ソフトウェアを使っても、「第1段階」と言われるマルウェアの侵入を完全に防ぐことは不可能とされています。だからこそ、「情報流出」を防ぐためには、第2段階以降で守る多層防御が重要になります。

    標的型攻撃による情報流出を防ぐために、

    • すでに知られているマルウェアの侵入を防ぐ
    • 未知のマルウェアの活動を検知し駆除する
    • PC自体のOSやアプリケーションに含まれる脆弱性を解消する
    • 不要な個人情報をPC上に保管しない
    • 個人情報を含むデータファイルを暗号化しておく

    といった方法を組み合わせて、多層防御体制を構築します。

    内部脅威への対策

    ~社内にいる人間による情報漏洩を防ぐために必要なこと~

    社内にいる人間が情報漏洩を図るときは、「第一段階」と言われるマルウェア侵入を必要とせず、USBメモリやCD/DVD、紙などの物理媒体で情報を持ち出せるため、それに見合った防御手段が必要です。また、外部からの標的型攻撃とは違って実行者が内部にいる場合は、特定しやすいため、心理的な牽制が有効に働きます。

    内部不正による情報漏洩を防ぐためには、

    • 情報を持ち出す手段となりうる記録媒体の使用を制限する
    • PC操作のログを取る
    • 不要な個人情報をPC上に保管しない
    • 個人情報を含むデータファイルを暗号化しておく

    といった方法を組み合わせて、多層防御体制を構築することが有効です。

    外部、内部それぞれの脅威からの情報漏洩対策に役立つツールとは?

    PCからの情報漏洩を防ぐセキュリティ対策は、それぞれの目的に合ったツールを組み合わせて構築します。具体的には下記のようなツールがあります。

    ウイルス対策

    メール送受信、Webアクセス、コンピュータ内のファイルなどに潜む、標的型攻撃に使われるウイルスなどのマルウェアを検知します。

    ウイルス対策『AssetView Vplus』

    未知の脅威対策

    標的型攻撃に多用される、パターンファイルでは発見できない新種・亜種のマルウェア対策として、その「活動」を手がかりに発見します。

    未知の脅威対策『AssetView Vplus』

    Webフィルタリング

    「PCからアクセスできるWebサイトの範囲をさまざまな条件で制限し、標的型攻撃の入口・出口になり得るWebサイトへの接続を防ぎます。

    Webフィルタリング『AssetView F』

    個人情報検索

    PC内に放置されているファイルを検索して個人情報が含まれるものを洗い出し、どこにどんな個人情報が存在するかを「棚卸」することができます。

    個人情報検索『AssetView I』

    PC操作ログ管理

    ファイルのコピー、移動、名前変更、印刷、メール添付、Web閲覧、Webフォーム送信など、PCの操作全般のログを取るとともに、対象ファイルの種類に応じて禁止操作を設定して、「個人情報をUSBメモリに書き込もうとしたら警告し禁止する」といった管理ができます。

    PC操作ログ管理『AssetView M』

    デバイス制御

    USBメモリ、SDカード、CD/DVD、Bluetoothなど、PCからのデータ持ち出しに使われるデバイスの使用に制限を与えます。デバイスのグループやユーザーごとの制限、申請による例外処置などの柔軟な運用が可能です。

    デバイス制御『AssetView G』

    不正PC遮断

    管理されていない未登録のPCが社内LANに接続されることを防ぎます。ランサムウェアに感染したPCのLAN接続を速やかに遮断することも可能です。

    不正PC遮断『AssetView S』

    ファイル制御・暗号化

    機密情報の悪用を防ぐ対策として、ファイルの暗号化、閲覧やコピー操作の制限、アクセスログの取得、遠隔削除などを可能にします。

    ファイル制御・暗号化『AssetView K』

    脆弱性対策

    OSやアプリケーションの脆弱性情報を収集し、社内で使用しているPCで該当するものに自動的に更新プログラム(パッチ)を適用します。

    PC更新管理『AssetView P』

    ツールの実効性を担保するためには「人」の教育も欠かせない

    多層防御をシステム面で実現するためのツールは多様なものが存在しますが、どんなシステムにしても運用するのは人間である以上、その実効性を担保するためには人の教育や組織風土にも気を配る必要があります。

    たとえば標的型攻撃の第1段階では、正規の取引先からの通信を装ったスパムメールやWebサイトを通じて、ウイルス対策ソフトウェアに検知されない新種のマルウェアを送り込む手口がよく使われます。

    そこでメール受信者が、それを察知して添付ファイルの開封を避けられるかどうかが多層防御の成否を大きく左右しますが、現代ではその偽装が非常に巧妙に行われているため、何の訓練も無しに見抜くのは極めて難しいのが現実です。

    第1段階での防御の効率を上げるためには、現場の担当者一人一人のセキュリティ知識を強化するための教育が欠かせません。

    マルウェア感染は必ず起こることを想定したワークフローの整備と
    組織風土改善が必要

    巧妙に偽装されたメールであったとしても何らかの不自然さはあることが多く、開封後(マルウェア感染後)でもそれに気づいて迅速に管理者に報告できれば、情報漏洩が起きる前に手を打つことが可能です。

    しかし、以下のような傾向のある組織では、ここで迅速な対応ができず多層防御に破綻が生じ、情報漏洩を阻止できない可能性が高くなります。

    • 管理者への報告の重要性が周知されていない
    • 報告のワークフローが確立していない
    • 実際に報告をすると管理者が面倒くさがる
    • 受信者個人のミスとして責任追及を始める

    まとめ:多様なツールの連携が取れるワンストップのソリューションで
    多層防御体制を構築しよう

    一方で、セキュリティ対策を強化すると、どうしても日常運用の利便性を損なう傾向があるため、こまめな懸念事項の報告/対応に手間がかかりすぎると、手抜き/形骸化が横行しがちです。

    これを防ぐためには、管理者/一般ユーザーの双方にとって負担が少ない、楽に使えるツールでなければなりません。

    多層防御に必要な「多様なツール」をバラバラに導入していると、相互の連携が取れず、操作性も不統一で運用に手間がかかり、コスト的にも割高になりがちです。

    多層防御体制の構築は、多様なツールの連携が取れるワンストップのソリューションをベースに行うことが推奨されます。

    お役立ち資料

    • お役立ち資料

      Windows10更新管理の教科書

      資料ダウンロード
    • 市場調査レポート

      小売業のモバイル端末「紛失対策」実態調査
      多店舗展開している小売業、半数以上が「スマホ・タブレットの管理」に不安あり

      資料ダウンロード
    • 製品概要

      すぐわかる!AssetView

      資料ダウンロード

    人気ランキング


    開催イベント

    • ランサムウェアの感染防止・感染後の対応・復旧までのケーススタディセミナー

      オンライン配信

      12/16(金)17:00~17:30

      30分で完全理解!~ランサムウェアの感染防止・感染後の対応・復旧までのケーススタディセミナー~

      トレンド

    • ご要件に合ったプランが選べる!AssetViewクラウドソリューションご紹介セミナー

      オンライン配信

      12/9(金)11:00~11:30

      ご要件に合ったプランが選べる!AssetViewクラウドソリューションご紹介セミナー

      トレンド

    • WSUSでPC更新管理をしている企業様向け<br>ツール乗り換えで実現するコスト削減

      アーカイブ配信

      12/2(金)~2023/3/31(金)

      WSUSでPC更新管理をしている企業様向け!ツール乗り換えで実現する"コスト削減"

      トレンド

    • 不具合を未然に防げる!業務に支障をあたえないWindows更新プログラム実行

      アーカイブ配信

      11/22(火)~2023/3/31(金)

      不具合を未然に防げる!業務に支障をあたえないWindows更新プログラム実行

      トレンド

    • ネットワーク帯域不足でも大丈夫! 業務に支障をあたえないWindowsパッチ配布

      アーカイブ配信

      10/21(金)~2023/3/31(金)

      ネットワーク帯域不足でも大丈夫! 業務に支障をあたえないWindowsパッチ配布

      トレンド

    • 最新事例に学ぶ!情報漏洩を未然に防ぐ「USBメモリー管理」とは?

      アーカイブ配信

      10/6(木)~2023/3/31(金)

      最新事例に学ぶ!情報漏洩を未然に防ぐ「USBメモリー管理」とは?

      トレンド

    • 【入門編】AssetView 活用セミナー~Windows更新管理編(P)~

      アーカイブ配信

      10/4(火)~2023/3/31(金)

      【入門編】AssetView 活用セミナー~Windows更新管理編(P)~

      運用支援

    • 【入門編】AssetView 活用セミナー~不正PC遮断編(S)~

      アーカイブ配信

      10/4(火)~2023/3/31(金)

      【入門編】AssetView 活用セミナー~不正PC遮断編(S)~

      運用支援

    • 『内部不正』が起きる要因と対策が分かるセミナー

      アーカイブ配信

      9/30(金)~2023/3/31(金)

      『内部不正』が起きる要因と対策が分かるセミナー

      トレンド

    • わかりやすく解説!改正個人情報保護法対応の現状とすぐにできる対策セミナー

      アーカイブ配信

      9/30(金)~2023/3/31(金)

      わかりやすく解説!改正個人情報保護法対応の現状とすぐにできる対策セミナー

      トレンド

    • 『IT資産管理の費用対効果』が説明できるようになるセミナー

      アーカイブ配信

      9/30(金)~2023/3/31(金)

      『IT資産管理の費用対効果』が説明できるようになるセミナー

      トレンド

    • 【初級編】AssetView 使い方レクチャー

      アーカイブ配信

      9/30(金)~2023/3/31(金)

      【初級編】AssetView 使い方レクチャー~AssetView運用開始編~

      運用支援

    • テレワーク運用における困りごと3つを解決!

      アーカイブ配信

      9/30(金)~2023/3/31(金)

      テレワーク運用における困りごと3つを解決!

      運用支援

    • 【初級編】活用セミナー~アプリケーション配布編(D)~

      アーカイブ配信

      9/30(金)~2023/3/31(金)

      【初級編】AssetView 活用セミナー~アプリケーション配布編(D)~

      運用支援

    • 【初級編】活用セミナー~デバイス管理編(G)~

      アーカイブ配信

      9/30(金)~2023/3/31(金)

      【初級編】AssetView 活用セミナー~デバイス管理編(G)~

      運用支援

    • 【中級編】機能別ワンポイント~Windows更新管理編(P)~

      アーカイブ配信

      9/30(金)~2023/3/31(金)

      【中級編】機能別ワンポイントセミナー~Windows更新管理編(P)~

      運用支援

    • 【中級編】機能別ワンポイント~アプリケーション配布編(D)~

      アーカイブ配信

      9/30(金)~2023/3/31(金)

      【中級編】機能別ワンポイントセミナー~アプリケーション配布編(D)~

      運用支援

    • 【応用編】運用ワンポイント~AssetViewサーバー監視編~

      アーカイブ配信

      9/30(金)~2023/3/31(金)

      【応用編】運用ワンポイントセミナー~AssetViewサーバー監視編~

      運用支援

    ハンモックのプロダクト

    • AssetsView
      IT統合管理ソフトウェア
      PCの資産管理や情報漏洩対策を強化する、
      機能が選べるIT統合管理ソフトウェア
    • ホットプロファイル
      名刺管理、営業支援ツール
      名刺管理とマーケティング機能が一体化した
      SFA・営業支援ツールの決定版
    • ホットアプローチ
      フォーム営業ツール
      法人の新規開拓営業に必要な営業先リストと
      自動営業方法をセットにした営業支援サービス
    • AnyForm OCR
      書式を問わないOCRソフト
      これまで実現できなかった、帳票レイアウトが
      非定型な活字帳票に対応できるOCRソフト
    • WOZE
      クラウド型データエントリーサービス
      業界最安値で正確かつ迅速に、あらゆる書類をデータ化

    資料一覧はこちら