前回の記事では,コンテンツ・セキュリティの重要性について述べた。今回の記事では,具体的な対策について述べたい。まずなすべきことは,メールとWebの利用ルールを作成し,ユーザーに周知徹底させることだ。そして,ルールが守られているかどうかをツールなどでチェックする。これにより,組織のリスクを大幅に軽減できる。
ユーザーの意識向上が第一
ほとんどの組織では,メールやWebの利用ルールは,セキュリティ・ポリシーに含めることになるだろう。しかし今回の記事では,セキュリティ・ポリシー全体ではなく,メールやWebの利用ルールについてのみ言及する。というのも,コンテンツ・セキュリティに注目した場合,メールとWebの不適切な利用が最も大きなリスクとなるからだ。
後述するように,ツールの利用も効果があるが,コンテンツ・セキュリティ対策の“メイン”となるのは,ユーザーの意識(モラル)の向上である。そのためには,利用ルールを明文化するとともに,それを周知徹底させる必要がある。まずは,どのようなルールを定めるべきかについて述べる。
ルールはA4用紙1枚で十分
「ルール」といっても,たいそうな“条文”を書き連ねる必要はない。意識が高いユーザーなら当然守っているような基本的なルールをA4用紙1枚分程度にまとめれば十分だ。
◆私的利用の禁止
組織で使用しているパソコンやソフトウエア,インターネット接続回線などはすべて組織の資産である。従業員は業務を遂行するために,それらを貸与されているに過ぎない。原則としては,従業員個人の私的な目的に使用してはならないというのは自然といえるだろう。私的利用は業務効率を低下させるだけではなく,ウイルス感染や情報漏えいといったリスクを高めることになる。
もちろん,私的利用を全面的に禁止するのか,ある程度許すのかは組織によって異なるだろう。しかしいずれの場合でも,ルールとしてきちんと周知させる必要があるのは確かだ。「日本労働研究機構」の調査によれば,組織の資産(インターネットに接続するための機器や回線)の私的利用に関して,明確なルールを定めていない組織は6割にのぼるというが,その半数は,今後ルールを定めたいと考えている(PDFファイル)。今後,私的利用に関するルールを明確にする組織は増えるだろう。
◆メール送信前の確認
これも,ユーザーのモラルあるいはマナーの範ちゅうであり,「わざわざルール化する必要はない」と考えるユーザーは少なくないだろう。しかし,組織としてのリスクを軽減するためには,明文化して周知徹底させる必要がある。
誤送信によって情報を漏えいさせてしまう恐れがあるので,送信先の確認は不可欠である。加えて,内容についても,送信する前に必ず一読して吟味するよう徹底したい。というのも,メールの情報伝達手段はテキスト(文字)が主だからだ。これは,長所でもあるが,短所でもある。表現一つで,相手に誤解を与え,当事者だけでは収拾できない問題に発展する危険がある。
送信前に受信者の立場で一度読んでいれば,多くの場合そういった事態は避けられる。特に,相手に対して意見するメール,批判的な内容を含むメールは,感情的な文面になっていないかチェックすべきだ。
いくら一従業員の不注意で送ってしまったメールでも,組織から送信されている以上,組織の責任も問われる。ルールとして明文化することで,組織の全ユーザーに改めて認識させる必要がある。
◆インターネットの利用制限
組織によっては,機密性が高い情報を扱う特定部門/部署においては,外部とのメールのやり取りやWeb利用を制限したい場合があるだろう。そのような場合には,ルールとして明文化しておく必要がある。併せて,利用を制限する理由についても,きちんと記述しておくべきだ。
利用制限している部門/部署において,業務上どうしても利用したいユーザーについては,システム部などへ申請することで,利用を許可する運用もあり得るだろう。ただしこの場合には,許可する基準などを明確にしておく必要がある。申請すれば,誰でも許可されるような運用は避けなければならない。誰にでも許可すると,「組織として理由があって利用制限しているのに,結局全員が使えてしまう」といった事態を招きかねない。
◆利用履歴を記録することの通知
ユーザーが守るべきルールではないが,組織のメールやWebの運用体制についても,ルールなどに含めておいて,ユーザー全員に知らせておく必要があるだろう。具体的には,送受信したメールやアクセスしたWebサイトなどの履歴情報を記録し保管している組織では,そのことを周知させておく。加えて,必要に応じて,保管している情報をチェックする可能性があることも言及しておくべきだ。
これらを明文化することで,不適切な利用の抑止力になるとともに,万が一事故や事件が発生した場合の調査に正当性を持たせることができる(関連記事)。
ルールには“お墨付き”を
ルールを作っただけでは意味はない。ルールを作成したら,まずは“お墨付き”をもらう必要がある。そうしないと,組織として守るべきルールにはならない。経営陣にルールの内容チェックさせ,組織としてのルールとして認めてもらう。実際には,作成後にチェックしてもらうだけではなく,作成段階から経営陣に関与してもらったほうがよい。
お墨付きをもらったら,組織にアナウンスする。このときも,経営陣の名前でアナウンスする。もちろん,一度アナウンスしただけで守られるほど“甘く”はない。定期的な啓蒙(教育)活動が不可欠だ。部門/部署ごとにセミナーなどを開催することが望ましい。とはいえ,頻繁には実施できないだろう。“定期的”といっても,年1回程度が現実的だと考えられる。
可能ならば,ルールについて,従業員から同意を得ておくことも有効だ。同意を得ておけば,トラブルが起きた際に「聞いていない」「知らなかった」といった“言い訳”をされることを避けられる。具体的には,例えば,ルールに関する同意書にサインをした従業員だけに,メールやWebの利用権限を与える方法が考えられる。
ツールで守られていることを確認
ルールを周知徹底させる過程で,ほとんどのユーザーは,メールやWebを正しく使うことの重要性を理解するだろう。メールやWebの利用履歴が残っていることを知らせたり,ユーザーにルールの同意を得たりすることで,不適切な利用に対する抑止力が期待できる。
このため,組織によっては,周知徹底させた段階で,対策が施せたと考えるだろう。しかし,ルールがきちんと守られているかどうかをきちんと確認するために,フィルタリング・ソフトなどのツールを導入する組織は少なくない。万全を期したい組織では導入を考えたい。
何かあったら,保存しているメール・サーバーやプロキシ・サーバーの履歴情報(ログ)を参照すればよいが,膨大なログのなかから,必要な情報を抽出するのは大変である。また,リアルタイムで,ルール違反をチェックすることもできない。フィルタリング・ソフトを使えば,運用負荷を軽減できるとともに,不適切な利用を防止できる。なお,現在市場に出ているフィルタリング・ソフトや,フィルタリング・ソフトの事例については,関連記事1や関連記事2を参照してほしい。
フィルタリング・ソフトのタイプ(使い方)は,「監視カメラ型」と「ガードマン型」に大別できる。いずれの使い方も可能なフィルタリング・ソフトも数多く市場に出ている。組織のルール(ポリシー)に従って,どちらの使い方をするのか,あるいは組み合わせて使うのかを決める。
まず「監視カメラ型」は,ネットワーク上のトラフィック(メールの内容やWebアクセス)を記録するタイプ(使い方)である。メール・サーバーやプロキシ・サーバーのログ機能と異なる点は,より詳細な情報を残せることや,参照したい情報を容易に抽出できることにある。例えば,メールの送受信者名や時刻,件名などを指定することで,該当する情報をすぐに抽出できる。
適切なトラフィックを誤って遮断してしまう恐れがない半面,ルール違反のメールやWebアクセスをリアルタイムで“食い止める”ことはできない。
「ガードマン型」は,「ゲートウエイ型」などとも呼ばれる。メールの場合は中継サーバー,Web の場合はプロキシ・サーバーなどの,トラフィックが必ず経由する通信経路上に設置する必要がある(前述の監視カメラ型は,ネットワーク上のパケットが収集できればよいので,この必要はない)。
事前に設定した条件(ルール)に一致する(あるいは一致しない)メールやWebアクセスを,リアルタイムでブロックする。「監視カメラ型」とは異なり,事前にトラブルを防ぐことができるが,運用負荷が大きいというデメリットがある。メールの場合には,キーワードや件名といった条件を管理者が設定する必要がある。適切な条件を設定しないと,適切なメールを遮断したり,逆に不適切なメールを通してしまったりする。
Webアクセスに関するフィルタリング・ソフトでは,URLのデータベースがベンダーから提供されるので,管理者はアクセスを禁止したいジャンル(カテゴリ)を指定すればよい。このため,メールのフィルタリング・ソフトよりは運用負荷は小さいが,データベースも万全ではない。業務に必要なサイトへのアクセスを遮断することがある。その場合には,管理者がそのサイトのURLをマニュアルで許可する必要などがある。
履歴情報はきちんと保管する
万一の事態に備えて,メール・サーバーやプロキシ,フィルタリング・ソフトが出力するログはきちんと保管しておく必要がある。保管する期間や方法は組織のポリシーに依存するので,一概には言えないが,できるだけ長期間,できるだけ参照しやすい形(例えば,テープではなく,ディスク装置)で保管しておくべきだろう。これらについても,きちんとルールとして明文化しておき,管理者はそれに従って保管する必要がある。
業界/業種によっては,監督官庁などから,情報の保管方法に関するガイドラインが公開されているので参考になる。金融監督庁の「金融サービスの電子取引の進展と監督行政」や,日本証券業協会の「インターネット取引において留意すべき事項について」などが例として挙げられる。
井上 秀 (INOUE Hiizu) 
NECソフト株式会社 サーバソリューション事業部
LinuxソリューションG
IT Proセキュリティ・サイトが提供する「今週のSecurity Check [一般編]」は,セキュリティ全般の話題(技術,製品,トレンド,ノウハウ)を取り上げる週刊コラムです。システム・インテグレーションやソフト開発を手がける「NECソフト株式会社」の,セキュリティに精通したスタッフの方を執筆陣に迎え,分かりやすく解説していただきます。
