Chief Security Advisor
高橋 正和
今回はデータ保護について“群”管理を考えてみる。ITに関するセキュリティがパソコン単体で考えられることが多いように,情報保護についても個別の対策が考察されることが多く,構造的な対策に触れているケースは少ないように思う。
情報が外部に漏れるルートは数多く存在するが,今回は情報をデータ(ファイル)の内容と定義し,「データの入手」(データへのアクセス),「データの移動」(外部記憶媒体などへのコピー),「情報の流出」(社外でのデータ流通)の三つのフェーズでとらえ,実施すべき対策と具体的な手法について解説する。具体的には,ユーザー認証とアクセス権限管理の徹底,グループポリシーを使った設定の統一,データの暗号化といった手法である。
データに対するアクセスを制限する
情報保護の基本は,データに対するアクセスを制限することにある。そもそもデータを入手するためには,(1)データへのアクセスが許可されている,(2)本来はデータへのアクセスが許可されているべきではないが,設定漏れなどによってアクセスできる状態にある,(3)技術的にアクセスが禁止されている,の三つのケースに分類できる。これをまとめると表1のようになる。
不適切なデータの入手を防ぐことに焦点を当てると,重要なのは(2)のコントロールである。サーバーごとのアカウント管理や,アクセス権付与の正当性チェックは欠かせない。人事異動や入退社に合わせて常にメンテナンスを続けていく必要もある。ここで重要になるのが,アカウント管理やアクセス権付与の作業を一元化し,ルールを徹底することである。
データ共有のために使うファイル・サーバーなどは小規模な単位で五月雨式に導入され,サーバーごとに独立に管理されるケースが多い。部門ごとに予算と管理が独立している場合や,特定のプロジェクトに関連して導入したサーバーなども,独立して管理される場合がある。こうなると,アカウントやアクセス権の管理がおろそかになりやすい。
