城北信用金庫(城北信金)は,情報漏洩対策ツールの導入を検討した。製品を選定するために,同信金は,情報漏洩の犯人役となる“漏洩班”と犯人を突き止める“追跡班”に分かれてロールプレイを実施。製品を実機で評価した。犯人の行動を最後まで追跡できたのが,インテリジェント ウェイブの「CWAT」だった。
CWATのログから追跡班が突き止めた情報漏洩のシナリオは,次のようなものだった。「X氏が業務システムにアクセスして情報を抽出。インスタント・メッセンジャーを使い別のPCに情報を転送。転送先のPCで情報を受け取ったY氏は,インスタント・メッセンジャー上でファイル名を変更して保存。ファイル内の一部の項目を削除するなど情報を加工し,共有フォルダを経由してZ氏に引き渡した。Z氏は,電子メールで社外に情報を持ち出した」−−。このシナリオと,漏洩班が記録していた犯行記録とを突き合わせると,両者はほとんど一致した。「これなら実用に耐えると思った」(システム部 システム企画グループ 次長 濱田良直氏)。
念のため,CWATを実際に使用しているユーザー企業を探し,その担当者に話を聞かせてもらった。運用上の注意点や,利用上の不満などを聞くためだ。その企業の担当者からは,「CWATを使うとユーザーの操作内容をかなり制限できるが,当初はあまり厳しく設定せず,徐々に制限をかけた方がよい」などの助言を得た。その企業では,ある操作をしたときにキー・ロックするように設定したところ,それに気づいた社員がほかの社員の離席時にその操作を実行してキー・ロックしてしまう−−といったイタズラがはやったそうだ。城北信金は,こうした助言や,自ら検証環境で得たノウハウを基に,セキュリティ・ポリシーを設定。2005年12月から2006年3月までに,115拠点で計約1500台のPCにCWATを導入した。
もっともCWATは,「ポリシーに反する行為を抑制し,操作履歴を切れ目なく記録することには優れていたが,分析したりレポートしたりする機能が弱かった」(同グループ 主任 冨田祐樹氏)。実際,情報漏洩を想定したロールプレイでは,犯人特定に丸1日かかったという。そこで,CWATの導入と併行し,情報漏洩時に情報源や漏洩範囲を迅速に特定するための「CWAT専用ログ分析システム」を別途構築し,2006年4月1日に本稼働した。
このCWAT専用ログ分析システムは,各PC上に生成されたCWATの監査ログ(操作履歴のログ)をデータベースに集約し,分析する機能を持つ。ユーザー名やIPアドレスを指定すると,関連する操作内容を検索できる(画面)。監査ログは,3カ月分はオンラインで保持し,それを過ぎると変更不能な媒体(DVD-R)に1カ月単位で自動的にバックアップする。バックアップ媒体は,金融庁の指針にもよるが,3年や5年など経過したら破棄する方針だ。このシステムは,SIベンダーのアイ・ティー・ワンが6月末に発表予定のCWAT運用支援ソフト「Audit Finder」(監査ログの検索機能は120万円,アーカイブ機能は40万円など)をベースに構築した。
さらに2006年6月1日には,平常時の利用を想定したレポート作成システム「セキュリティログ管理サーバ」も本稼働させた。このシステムは,CWATの警告ログ(ポリシーに違反したことを示すログ)に加え,ディレクトリ,シングル・サインオン,電子メール,プロキシなどの各サーバーが生成するログを毎晩収集。翌日になると,各拠点の責任者に,職員の前日のポリシー違反状況を報告する。ポリシー違反があった場合は,各拠点の責任者が,該当操作に業務上の必要性はあったか,上長の事前承認を得ていたか−−などを確認する。もし不正な操作だったら,リスク管理部門に連絡し,その要請を受ける形でシステム部門がCWAT専用ログ分析システムなどを使い,情報漏洩の有無などをチェックするなどの運用になると見られる。このシステムは,城北信金が業務委託しているJSCに依頼して開発した。
城北信金では,今後も情報漏洩対策の強化を図る考えだ。職員に対する啓蒙活動を強化するほか,「管理者権限を持つ情報システム部門の担当者の不正を監視する体制作りなども進めたい」(濱田氏)。
|
【訂正】 記事掲載当初,城北信用金庫が業務委託している会社名が「ジェーシーエス」となっていましたが,正しくは「JSC」です。お詫びして訂正します。[2006/6/6] |
