- Column
- 実行性が問われる産業サイバーセキュリティ
内部不正対策では重要情報を識別しリアルタイムに漏えいを防ぐ仕組みが不可欠に
「重要インフラ&産業サイバーセキュリティコンファレンス」より、インテリジェント ウェイブ セキュリティイノベーション本部 セキュリティマーケティング部 倉 健祐 氏
- 提供:
- インテリジェント ウェイブ
内部対策していても見逃しが多いため重要情報のリアルタイムな監視が必要
過去の情報漏えい事故においては、「重要データが持ち出されたことに気づけなかったり、持ち出しを防げなかったりしたケースが多い」と倉氏は指摘する。そのため、情報漏えいを識別する仕組みや、リアルタイムでのPC操作の記録、ログ監視による定期的な持ち出し検疫、データに対するアクセス権設定や暗号化による保護などの対策が必要になるとする。
もっとも、こうした対策を実行していても見逃してしまうケースは発生する。理由はいくつもある。持ち出し禁止が機能していなかったり、業務効率を優先して禁止できなかったり、ログが多すぎてチェックし切れなかったり、ログを見ても判別できなかったりである。
セキュリティ対策においては「業務とのバランスが大切になる」と倉氏は話す。業務効率に影響を与えないよう柔軟に設定しつつ、情報漏えいの経路を徹底的に制御するなどだ。リアルタイムで重要情報の漏えいを通知したり、ログだけで重要性が判別できたりする仕組みも必要だ。「こうした仕組みが整っていないと、情報漏えいに気付くのは、いつも漏えいした後という事態になってしまう」(倉氏)
こうした課題に対しセキュリティに強い体制を作るためにインテリジェント ウェイブが用意するのが情報漏えい対策ソリューションの「CWAT」(シーワット)である(図3)。
CWATは、セキュリティポリシーベースで不正操作を監視・制御する。クライアントPC上でのユーザーの操作を監視し、セキュリティポリシーや予め設定したルールで禁止された操作、つまり不正操作を検知・遮断し情報漏えいを防ぐ。「膨大な操作ログの管理は困難だが、ルールに違反した操作のみを抽出し、管理サーバーにリアルタイムに送信された警告ログを見れば、管理者は効率的に違反や不正に気づける」(倉氏)とする。
設定できるポリシーは、ログオン、ファイル操作、外部メディア書き込み、メール、ブラウザ上のアップロード操作など15種類を用意する。それぞれ、監視(警告ログの発信)、抑止(ポップアップメッセージ表示)、禁止の3段階で強弱を付けて設定できる。「禁止が多すぎると業務効率に影響が出て、結果的にセキュリティが後回しになってしまう」(倉氏)ことから、ユーザーの権限や端末の利用目的など業務実態に合わせて設定・変更する。
キーワード検査機能を持つ。ポリシーごとに重要情報を識別するキーワードを設定し、メールやWeb、印刷や外部記憶媒体へ持ち出されるデータ内に、そのキーワードが含まれているかどうかを検査する。ファイル名だけでなく、ファイルの内容も検査対象になる。例えば、あるプロジェクトに関連する単語をキーワード登録しておけば、その単語を件名や本文、添付ファイル内に含むメールが外部に送信されると管理者に通知が届くうえに、ポリシー設定によっては送信を禁止することもできる。
フォルダとユーザーの組み合わせで暗号化するファイル暗号化機能も備える。権限のないユーザーやCWATがインストールされていないクライアントPC上では暗号化されたファイルを閲覧できないため、万が一、情報が漏えいしても社外環境での閲覧を防げる。
CWATの導入企業に大日本印刷がある。同社は次のように評価しているという。
「外部への機密情報の提供や悪⽤に対しては、事案発⽣後のPC端末のログ調査が⼀般的であり、発⽣前の監視は困難だった。PC操作の検知や重要ファイルへのアクセス制御、監視やログ管理などの機能により、部⾨ごとの利便性の確保とセキュリティの強化を両⽴できるようになった」
倉氏は改めて「重要情報の識別によりリアルタイムに気づき、漏えいを防ぐことが重要だ」と訴える。
