ネットワークの脅威と対策を一から学ぼう

ITでどこまで実現する？情報漏えい対策の基礎

2009年10月07日 06時00分更新

文● 大谷イビサ／TECH.ASCII.jp

既存のセオリーが通用しない

　ブロードバンドの普及で、さまざまなセキュリティの脅威が一般化してきた。これに対しては、ファイアウォールやIDS・IPS、アンチウイルス、アンチスパムなど、さまざまな対策が用意されてきた。しかし、情報漏えいに関しては、こうした今までセキュリティ対策の「セオリー」が通用しない。そのため、多くの企業が対策に苦慮している。

　一番重要なのが、内部からの漏えいが多いということだ。今までのネットワークセキュリティでは、組織外に存在する不正な犯罪者から情報や従業員を守るという図式を元に構築されていることが多い。また、従業員は業務のためにインターネットを利用し、良識のある行動をとるという前提があった。そのため、ファイアウォールも、外部からの攻撃を前提にフィルタリングを行ない、内部から外部への通信は緩やかなルールで対応していた。

　しかし、情報漏えいの場合、多くの調査レポートで裏付けられている通り、事件は普段から情報にアクセスできる内部から漏れるという構造が中心となる（図4）。もちろん、意図的な不正持ち出しは犯罪になるが、従業員の操作ミスや不注意という場合もある。そのため、情報漏えい対策では、従業員自体を情報漏えいさせる可能性のあるユーザーとして扱う「性悪説」的なアプローチが必要になってくる。

図4　内部からの情報漏えい

　性悪説的なアプローチで情報漏えい対策を実現するのは、単にソフトウェアや製品の導入だけでは難しい。そこで、情報漏えい対策においてはまず従業員のIT利用に関する規範を定め、漏えい自体が起こりにくい組織体制を構築することが最重要である。こうした規範のうち、企業ごとに決めたセキュリティ面のルールを「セキュリティポリシー」と呼ぶ。ここには漏えいを防ぐために事前に行なうべき製品の設定や運用のほか、事故が起こった際の対応、罰則まで含まれる。

　また、情報セキュリティを確保した組織の運用を第三者が認定する「ISMS^※3適合性評価制度」という。ISMSでは定期的に監査を行なうことで、高いセキュリティを継続的に維持する体制が要求される。これを「PDCAサイクル（Plan-Do-Check-Act）」という。

※3：ISMS（Information Security Management System）　企業などの組織がどのように情報を適切に扱えばよいかを定めた「リスクマネジメント」の体系。セキュリティポリシーや運用体制にまで、基本方針の定期的な見直しなど幅広い範囲におよんでいる。

ITでどこまでできるか？さまざまな情報漏えい対策

　こうしたセキュリティポリシーの構築のほか、さまざまなソリューションを導入することで、情報漏えいに対する高い耐性を確保できる。

　情報漏えい対策製品のうちもっとも一般的な形態が各PCに専用ソフトを導入し、これらをサーバで管理するクライアント／サーバ型の情報漏えい対策ソフトである（図5）。こうした情報漏えい対策ソフトは、ハミングヘッズの「セキュリティプラットフォーム」やエムオーテックスの「LanScope CAT5/6」、日立製作所の「秘文」など国内のベンダーから数多く提供されている。おおむね以下のような機能を提供する。

図5　情報漏えい対策ソフトの機能

ユーザー認証

　ユーザー認証により、正当なユーザーやコンピュータを識別する。情報へのアクセス権限を規定するための前提となる環境であり、情報漏えいに留まらない、基本的なITインフラといえる。マイクロソフトのActive Directoryのほか、LDAP^※4、RADIUSなどのディレクトリサービスなども利用される。

※4：LDAP（Lightweight Directory Access Protocol）　ネットワーク上のユーザーやコンピュータなどを管理する、ディレクトリサービスを実現するためのプロトコルの1つ。Active Directoryも採用している。