監修・NPO日本ネットワークセキュリティ協会
セキュリティ監査WG
文・夏目雅好(ネットマークス 公認情報システム監査人)
毎日のように個人情報流出がメディアをにぎわせ続けています。これは個人情報が流出した企業や組織が情報を提供した個人への説明責任を果たそうと努めていることの表れであり、二次被害を食い止めたいとの思いでもあります。
情報セキュリティ対策は、民間企業では一般的に公表しません。対策をオープンにすれば回避方法を考えることができるという理由からです。しかし、流出させてしまった組織は信頼回復の手段としてある程度まで対策を公開しています。おかげで本来明かされない企業の情報セキュリティ対策を垣間見ることができ、本コラムを読まれる方々には『他山の石』を自組織とのベンチマーキングに活用できます。ここ1年ほどの間に公表された情報流出事故後の対策の一部をまとめたのが下の表です。
信販 A社 |
信販 B社 |
流通 C社 |
流通 D社 |
鉄道 E社 |
鉄道 F社 |
通信 G社 |
通信 H社 |
|
---|---|---|---|---|---|---|---|---|
情報セキュリティ教育 | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ |
情報セキュリティ監査 | ○ | ○ | ○ | ○ | ○ | ○ | ||
データアクセス権限の制限 | ○ | ○ | ○ | ○ | ○ | ○ | ||
生体認証 | ○ | ○ | ○ | |||||
ログ管理 | ○ | ○ | ○ | ○ | ○ | ○ | ||
PC 機能制限 | ○ | ○ | ○ | |||||
暗号化 | ○ | ○ | ○ | |||||
高セキュリティエリアの設置 | ○ | ○ | ○ | ○ | ○ | ○ | ||
監視カメラ | ○ | ○ | ○ | ○ |
本コラムのタイトルでもある「情報セキュリティ監査」は約80%実施されており、この監査実施企業のうち50%は、表には記載していませんが第三者監査も実施しています。外部機関による監査の客観性の有用性が認知されてきていることが伺えます。
総務省は、2004年4月14日に「個人情報の内部流出を防止するための措置の徹底について(要請)」で下記の適切な措置を講ずるように要請しています。
(1) | 個人情報データベースのアクセス管理強化 | |
1) | 個人情報データベースへのアクセス権限を必要最小限に限定すること | |
2) | 個人情報データベースのアクセス記録(ログ)を長期間保存し、アクセス状況を適切に監視できる体制を整備すること | |
3) | 個人情報データベースにアクセスできる端末のあるスペースへの入退室の管理を徹底すること 等 | |
(2) | 個人情報データの持ち出し手段の制限強化 | |
1) | 個人情報データベースにアクセスできる端末において、外部記憶媒体へのデータの記録をできないようにするとともに、プリントアウトは厳重な管理の下で行うようにすること | |
2) | 個人情報データベースにアクセスできる端末から送信されるメールを監視すること 等 |
本要請の対象でなくとも、ここにあげられていることは個人情報漏えい対策としてベーシックなものですので取り組まなければなりません。セキュリティ対策製品を購入すればすべて実現できるのであればいいのですが、「体制を整備すること」や「管理を徹底すること」は運用がポイントとなる対策であり、業務の再構築や新たな人的リソースが必要となります。
では、これから対策を始める場合はどこから手を付ければよいでしょうか?
こういう時に役立つのが『他山の石』です。先の表では、この要請をカバーするような対策を抽出してあります。表の青色の部分がシステムですべき対策、黄色が物理的対策です。このなかで現状業務をあまり変更せず、且つ運用工数負担が少なく、今すぐ、明日からでも始められるのが「ログ管理」です。
■ログ管理のビジネス要求
先の表では、約80%の企業がログ管理を実施しています。個人情報流出事故の多くはログ管理が不十分であったため、流出経路が特定できずに警察当局に指導および捜査協力を仰ぐケースも多く、その反省もあり徹底したログ管理を表明している企業は多々あります。従って、ログ管理には以下のようなビジネス要求があると考えられます。
- いつ、どのような被害を受けたか把握したい
- 誰が何をした結果なのか解明したい
- 何故事象が発生したかを分析し予防につなげたい
- 不審な挙動を早めに察知したい
- 自分達の組織は確実に対策を実施していたことを証明したい
■ログ管理の検討──目的により施策の内容は異なる
ログ管理はその目的により実施する施策の内容が異なります。情報漏えいにつながるような操作を検知することが目的なら、「PC上でのUSBドライブの利用」や「Winny使用」などを検出する必要があり、管理しなければならないのはPC操作ログです。
PC操作ログの収集はシステム利用者の行動が明確になるため、不正を働く気持ちを抑止する効果もあります。
Eメールによる漏えい検知が目的であれば、メールサーバからインターネットへ送信するメールを収集する必要があります。そして、収集したメールを、例えば個人情報リストを検出するために「添付ファイルにn個の文字列または単語の組み合わせがn回出現する」のような条件での検索を行います。
権限のある利用者の許可された操作のなかで行われた場合、事故発覚前にログを検索して検知することは不可能です。しかし、流出事故が発生してからの経路特定が目的であれば、サーバアプリケーションのトランザクションなどのログを保管することで実現できます。この場合のログ管理は、検出目的のログ管理と異なり、いかにして不正を検出するかよりも、ログの完全性を確保しながら保管することに比重が置かれます。
■ログを改ざん/削除から保護する
ログを改ざんから保護することも必要です。特にシステムの管理担当者はroot権限やadministrator権限を有しているためログの操作が可能ですので、管理は別の管理担当者が行うことで相互牽制することを検討します。
ログには個人情報や業務上の機密が含まれることも多く、ログの閲覧権限を適切に割り当て確実に運用しなければなりません。また、個人情報保護法では安全性の確保などを求められますので、システムとして実現できていることの証跡としてもログの保護は重要です。
ログファイルを一元管理することでログを改ざん/削除から保護することは、ログ管理のための工数負担減少のためにも有効です。
ログの管理は直接的な予防策ではありません。しかし不正を抑止し、事故が発生した時に速やかに調査分析するための大切な根拠になります。
ログ収集管理を実現するためには、収集目的、収集対象、収集する情報の種類、収集方法、保存期間、保存場所、検索方法、レポーティングなどについて検討するようにします。
|
|