相次ぐ情報漏洩事件と来年4月の個人情報保護法施行を前に、個人情報や機密情報の漏洩対策を見直す企業が増えている。従来から行われてきたサーバーやファイルに対するアクセス権の設定だけでは、悪意のあるユーザーからの漏洩は防げない。そこで従業員のパソコン操作を監視するようになってきた。中核となるクライアント操作監視ソフトは20種類以上あり、選択には注意が必要だ。
|
本記事は日経コンピュータ2004年9月6日号からの抜粋です。そのため図や表が一部割愛されていることをあらかじめご了承ください。本「特集」の全文をお読みいただける【無料】サンプル版を差し上げます。お申込みはこちらでお受けしています。なお本号のご購入はバックナンバーをご利用ください。従業員を疑う。これまで企業はそんな想定をしてこなかった。従来の情報漏洩対策は従業員を信用することを前提に行われてきた。例えば、サーバーやファイルに対するアクセス権の設定は、正規アカウントを持つユーザーを信用することで成り立っている。たとえ「うっかりミス」はあっても、故意に情報を漏らすような悪意のある従業員はいないことになっていた。
ところが、その前提が崩れ始めている。今年2月、ソフトバンクBBが運営するADSLサービス「ヤフーBB」のユーザー約450万人の個人情報漏洩が発覚。5月にはこの個人情報を基に同社を恐喝しようとした容疑者が逮捕された。容疑者はヤフーBBの顧客データベースにアクセスしていた。そのアカウントを教えたのは、同社がシステム関連業務を委託していた業者。つまり「正規アカウントを持つユーザー」から情報が漏れたのである。同様の漏洩事件が起こったジャパネットたかたやアッカ・ネットワークスでも、漏洩経路こそ特定されていないものの、従業員の関与が強く疑われている。個人情報だけでなく、開発中の製品の設計図といった機密情報なども不正な情報持ち出しの標的になっている。
いま企業は情報漏洩対策の方針を転換しなければならない。「従業員を監視する」というやっかいな対策を求められるようになっている。従業員を疑うことで企業活力を削ぐことになってはならないが、漏洩はしっかりと防がなければならない。そのためにどのような対策を打つべきか。
まず、個人情報の漏洩により通信事業の根幹が揺さぶられ、あらゆる情報漏洩対策を講じざるを得なかったソフトバンクBBの事例を見ていこう。
事例 ソフトバンクBB
漏洩が生んだ究極の
リアルタイム監視システム
約450万件に及ぶ個人情報の漏洩が発覚したソフトバンクBB。同社は従来のずさんな個人情報の管理を反省し、二度と漏洩事件を起こさないために徹底した対策を行った。その結果できあがったのは、全従業員のパソコンを専用の監視ルームでリアルタイムに見張る究極の監視システムである。
 |
| 写真1●セキュリティ・オペレーション・センター(監視ルーム)の電光掲示板と警告灯 |
ここは、ソフトバンクBBの本社にある「セキュリティ・オペレーション・センター」。本社、各事業所、コールセンターにある計1万台弱に及ぶすべてのパソコンにクライアント操作監視ソフトを入れ、ここで監視している。重度の問題がある操作が見つかると、直ちに現場に通報、問題の従業員は再びこうした行為を行うことのないよう厳重に注意される。中度/軽度の問題操作はレポートの形で現場の上司に報告し、本当に問題だったかどうかチェックする。
セキュリティ・オペレーション・センターは、本社ビルのワン・フロアに設置された「高セキュリティ・エリア」にある。高セキュリティ・エリアのなかでも、入室に別途ICカードが必要なほど厳重に管理された場所だ(図1[拡大表示])。このエリアは、高いセキュリティを確保するため厳重な監視下に置かれている。同社は、個人情報データベース・システムの保守/運用部門やコールセンターを高セキュリティ・エリアに指定している。高セキュリティ・エリアには、許可を受けた限られた従業員しか出入りできない。そのなかでの行動は監視カメラで常に見張られている。
 |
| 図1●ソフトバンクの高セキュリティ・エリア |
高セキュリティ・エリアにはセキュリティ・オペレーション・センター以外に個人情報を扱う二つの部屋がある。一つは個人情報データベースを含むシステムを保守・運用するためのシステム・ルーム。もう一つは、個人情報を扱うための業務ルーム。情報システム部門以外の従業員、例えばマーケティング部門の従業員がここで個人情報を参照する。
高セキュリティ・エリアのあるフロアに入るためにエレベータを降りると、警備員の立つ入口がある。ここでは立ち入り権限を付与されたICカードが必要。なかに入ると、金属探知機のゲートがある。このゲートで私物を持ち込んでいないかどうかを検査する。私物はゲート手前にある鍵付きのロッカーに預けなければならない。
24時間365日のリアルタイム監視
電光掲示板といったものものしい道具立ては人目を引くが、「ヤフーBBはここまでセキュリティに力を入れて運用しています」と外部にデモンストレーションする意味合いが強い。従業員の問題操作を検知するだけなら、わざわざ電光掲示板に表示する必要はないし、金属探知機で私物が漏れなくチェックできるとも思えない。
ただし掛け値なしにすごいところがある。10数人のスタッフが24時間365日体制でリアルタイムの従業員監視を行っていることだ。人件費だけでも大変なコストがかかることは容易に想像できる。しかも利益を一切生まない純然たるコストである。
全従業員のパソコンにクライアント操作監視ソフトを入れている企業はほかにもある。しかし、普段はクライアント操作ログを取りっぱなしという運用がほとんど。情報漏洩が実際に起きた時にログを見るという考え方であり、セキュリティ対策に積極的に取り組んでいる企業でも、担当者1人が1日に数回ログをチェックする程度。ソフトバンクBBの体制は、コストのために事実上不可能とされている「情報漏洩をリアルタイムに検知する」ことを目指す。それほどの対策を利用者や監督官庁にはっきりと示さなければならないところまで追い込まれたと言えるだろう。
監視を行うセキュリティ・オペレーション・センターの構築には、セキュリティ専門ベンダーであるラックが協力した。センターの運用もラックが受託。ラックが派遣した技術者が運用している。従業員のパソコンに加えて社内のサーバーも監視している。
クライアント操作監視ソフトにはシーア・インサイト・セキュリティの「SEER INNER」を採用した。ソフトバンクBB 情報システム第1本部業務管理部兼システム開発部の山本秀雄担当部長は、以前からこの製品の特徴をよく知っており、今回の対策に適していると考えたからだ。
シーア・インサイト・セキュリティがこのソフトから上がるアラーム(警告)が警告灯や電光掲示板と連動するようカスタマイズした注)。また、あたかも社内を巡回するように、SEER INNERを使って順番に全従業員のパソコンのデスクトップ画面を取得。パソコンで問題のある行動をしていないかどうかもチェックしている。取得したデスクトップ画面は、セキュリティ・オペレーション・センターの壁に設置されたモニターに映す。
注:カスタマイズには、システムインフィニティも加わった。
続きは日経コンピュータ2004年9月6日号をお読み下さい。この号のご購入はバックナンバーをご利用ください。
