監視による抑止力強化に取り組む際に押さえておきたいのは、内部犯行を企てる相手は「プロ」であるということ。多くの場合、内部犯行者はシステム管理者だ。セキュリティベンダーであるネットエージェントの杉浦隆幸社長は、「“監視をしているフリ”などは当然通用しないし、隠ぺい工作や誰かに罪を押し付けるログの改ざん行為などの可能性についても考慮しなければならない」とアドバイスする。
このため、抑止力の強化をログだけに頼るのは危ない。プロを相手にする以上、対策には相応のコストをかけるべきだ。抑止力を高めるために、ログの活用に加えて内部犯行のリアルタイム監視目的に使える商用ツールの導入を検討することをお勧めしたい(図2)。
ログは本来記録を残すためのものであり、可読性が低く、行動をリアルタイムに監視する目的には向いていない。専用の監視ツールなら、リアルタイムに細かく監視できることに加え、不審な行動に対してアラートを出したりデータを盗み出す行為を止めたりすることもできる。
監視ツールは、(1)クライアントPC上のユーザー操作やUSBメモリーなどのデバイス利用を監視・制御する「クライアント監視型ツール」、(2)社内ネットワークを流れるデータをパケット単位で監視する「ネットワーク監視型ツール」、(3)対象サーバー上などで特定のファイルや重要なデータの操作、やり取りを監視する「データ操作監視型ツール」――と大きく3タイプに分けられる。
「振る舞い」を監視するツールもある
日本セキュリティマネジメント学会の萩原栄幸常任理事は、上記3タイプの他に「振る舞い監視」ツールの導入を勧める。「例えば、社員の休日出勤や深夜残業が急に増え、普段アクセスしないデータをいくつも照会していたら、内部犯行を企てている可能性がある。一つひとつの行為は正当でも、ツールを使って全体を見ると内部犯行やその準備段階であることを見抜ける」(萩原氏)。米国では、既にこうした振る舞い監視ツールの導入が進んでいるという。
監視ツールの導入コストは、例えば社員1000人規模の会社の場合で数百万円程度かかるのが一般的だ。決して安くはないが、業務で大量の個人情報を扱う企業なら、こうしたコスト負担を惜しむべきではない。「これからの時代、対策に十分なコストをかけられない企業は、個人情報を扱うべきではない」(ラックの最高技術責任者を務める西本逸郎取締役)。