企業内からの情報漏洩対策に有効 暗号化&アクセスコントロール(1)(執筆:他力本願堂本舗)
個人情報保護法が発効する日が目前に迫り、情報保護対策に躍起になっている方も多いだろう。情報漏洩といえば、外部の何者かがサーバに侵入してデータを持ち去るといったイメージを持つ方もおられると思うが、実際には内部犯行のケースが多い。
内部犯行の情報漏洩で
特集
特集
内部犯行の情報漏洩では、現職のエンジニアやオペレータが金銭目的や怨恨を理由にデータを抜き出し、外部に漏洩させるといった形式が多い。また、故意ではないものに、外付けのハードディスクやノートパソコンが盗難にあったり、または置き忘れ等の紛失によってアクセスコントロールを失うことで情報漏洩の可能性を否定できなくなる場合がある。
実際には(いわゆる)ハッカーによって情報漏洩を引き起こされるケースは意外と少ないのだ。とはいえ、かつて2ちゃんねるなどで話題に上ったが、データディレクトリがアクセスコントロールされていなかったりするケースで情報漏洩を招かないとも限らない。
さて、情報漏洩の対策だが、最近までは一般的に外部からの脅威への対策が行われてきた。古くは FireWall によるアクセス制限に始まり、アカウント毎のアクセス権によってそもそもデータにアクセスさせないことで、無関係な第三者の目からデータそのものを秘匿する方法がとられてきた。また、盗難などの対策として、ディスクそのものを暗号化するといった手法もよくとられる。
しかし、これらの方法では防ぎきれないケースがある。それは、正当なアクセス権を持った人物による情報漏洩、つまり冒頭に挙げた内部犯行による情報漏洩への対策は不充分となっているのだ。
そこで今回、チアルアンドアソシエイツ様よりご提供頂き、「SSS Filer」を試用させて頂いた。SSS Filer はこれまでのアクセス権の設定をさらに柔軟かつ厳密に行うことで、ユーザだけでなくハードウェアまで認証し、あるデータに対して特定のユーザが特定の端末で利用することしかできないようにする、といったことが可能になるソリューションだ。
●情報漏洩の経路と対策
情報漏洩には先述のように、外部からのアクセスを制限できなかったことによる第三者に直接情報が渡ってしまう経路と、内部ユーザを含めた正規のユーザが、意識して、または盗難などにあって情報漏洩を起こすものがある。
前者の有名なものは、大手エステサロンの WEB サーバから顧客情報が漏洩したものが、そして後者の有名なものでは地方自治体の住民情報が漏洩した事件が思い浮かぶ。
どちらも情報漏洩としては典型的なものだ。しかし、統一的にこれらの経路での情報漏洩を防ぐ方法はほとんど採用されていない。FireWall の導入やアクセス権のコントロールで、外部からの不正アクセスを防ぐなどの方策はほとんどの場合で採用されているが、正規ユーザを経由した場合の情報漏洩に対してはほとんど有効な対抗策が実施されていない。強いて挙げれば、盗難対策としての暗号化といったところだろうか。
他力本願堂本舗
杉谷 智宏
※本製品に関するお問い合せは下記のアドレスまで。
scan@ns-research.jp
──
(この記事には続きがあります。続きはScan本誌をご覧ください)
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》
