日経NETWORK 2016年9月号からの転載です。記事は当時の状況を解説しています。

世間を騒がせた日本年金機構の情報漏えい事件から1年がたちました。今年はJTBの事件が記憶に新しいところです。

 こうした事件から、企業のセキュリティ対策に役立つ様々な教訓が見えてきました。ちまたでは高度な攻撃が増えたといわれていますが、基本的な対策をしっかりやっておけば攻撃を受けても被害を緩和できるということです。ここでは五つの基本対策を説明します(図1)。みなさんの企業で実践できているかどうかを確認してみてください。

図1●システム管理者が今やっておくべき五つの基本対策
図1●システム管理者が今やっておくべき五つの基本対策
大規模な情報漏洩事件が頻発する中で、管理者は(1)~(5)の基本対策を実施してほしい。
[画像のクリックで拡大表示]

基本1 ネットワークの分離

 セキュリティ対策を考える際、「どこにある、どの情報を守りたいのか」を明らかにします。よく「標的型攻撃がはやっているから、標的型攻撃を防ぐ機器を入れよう」など、脅威を起点に対策を考える人がいます。そうではなく、まずは守りたいものを起点に基本的な対策から考えるべきです。基本的な対策ができていなければ、新しいセキュリティ製品を導入しても生かせません。

 守りたい情報を整理したら、そのデータを格納する場所を可能な限り狭い範囲に集約し、ネットワークを分離します図2)。さらに、そのネットワークにアクセスできるのは業務上必要な人や端末に制限し、どこからでも誰もが簡単にはアクセスできないようにしましょう。

▼分離します いきなりネットワークを分離するのは難易度が高いかもしれない。そういった場合は、まず分離できる端末の洗い出しから始め、全体ではなく一部から取り組むのでもよいだろう
図2●守りたいものを集約してネットワークを分離
図2●守りたいものを集約してネットワークを分離
「どこにある何を守りたいのか」を明確にして、重要な情報を格納するサーバー類はネットワークを分離する。さらに、その情報にアクセスできるユーザーや端末を制限する。こうした対策により、攻撃のリスクを低減できる。
[画像のクリックで拡大表示]

 分離して終わりではなく、情報をどう取り扱うかという運用方法も大切です。例えば公開メールアドレスは攻撃の序盤で狙われがちです。日本年金機構やJTBの事件でも公開メールアドレス宛てに攻撃メールが届きました。こうした端末は、セキュリティ対策を強化したり、機密情報や個人情報へはアクセスできない権限に変更したりするなど、他の端末とは区別するとよいでしょう。

 また、ある従業員が重要な情報にアクセスする場合、通常業務のパソコンとは別のパソコンを使うなど、端末を分けるのも有効です。重要な情報にアクセスできる端末は、インターネットへは直接つながないなど、ウイルス感染を防ぐ対策も検討しましょう。

 過去の大規模な情報漏洩事件でも、ネットワークの分離がしっかりできていなかったケースが目立ちます。日本年金機構の場合、個人情報へのアクセスは制限されていました。しかし業務の都合で、実際の運用では原則禁止されていたはずの共有サーバーに個人情報が一時的に保存されていました。

▼ケースが目立ちます 2014年に起こったベネッセコーポレーションの事件では、個人情報を格納したサーバーは物理的に隔離されていた。この点では、しっかりと対策ができていたといえる。しかし、内部犯行によって情報が持ち出された。