企業内からの情報漏洩対策に有効 暗号化&アクセスコントロール(1)(執筆:他力本願堂本舗) | ScanNetSecurity
2021.06.20(日)

企業内からの情報漏洩対策に有効 暗号化&アクセスコントロール(1)(執筆:他力本願堂本舗)

 個人情報保護法が発効する日が目前に迫り、情報保護対策に躍起になっている方も多いだろう。情報漏洩といえば、外部の何者かがサーバに侵入してデータを持ち去るといったイメージを持つ方もおられると思うが、実際には内部犯行のケースが多い。  内部犯行の情報漏洩で

特集 特集
 個人情報保護法が発効する日が目前に迫り、情報保護対策に躍起になっている方も多いだろう。情報漏洩といえば、外部の何者かがサーバに侵入してデータを持ち去るといったイメージを持つ方もおられると思うが、実際には内部犯行のケースが多い。
 内部犯行の情報漏洩では、現職のエンジニアやオペレータが金銭目的や怨恨を理由にデータを抜き出し、外部に漏洩させるといった形式が多い。また、故意ではないものに、外付けのハードディスクやノートパソコンが盗難にあったり、または置き忘れ等の紛失によってアクセスコントロールを失うことで情報漏洩の可能性を否定できなくなる場合がある。
 実際には(いわゆる)ハッカーによって情報漏洩を引き起こされるケースは意外と少ないのだ。とはいえ、かつて2ちゃんねるなどで話題に上ったが、データディレクトリがアクセスコントロールされていなかったりするケースで情報漏洩を招かないとも限らない。

 さて、情報漏洩の対策だが、最近までは一般的に外部からの脅威への対策が行われてきた。古くは FireWall によるアクセス制限に始まり、アカウント毎のアクセス権によってそもそもデータにアクセスさせないことで、無関係な第三者の目からデータそのものを秘匿する方法がとられてきた。また、盗難などの対策として、ディスクそのものを暗号化するといった手法もよくとられる。
 しかし、これらの方法では防ぎきれないケースがある。それは、正当なアクセス権を持った人物による情報漏洩、つまり冒頭に挙げた内部犯行による情報漏洩への対策は不充分となっているのだ。

 そこで今回、チアルアンドアソシエイツ様よりご提供頂き、「SSS Filer」を試用させて頂いた。SSS Filer はこれまでのアクセス権の設定をさらに柔軟かつ厳密に行うことで、ユーザだけでなくハードウェアまで認証し、あるデータに対して特定のユーザが特定の端末で利用することしかできないようにする、といったことが可能になるソリューションだ。

●情報漏洩の経路と対策

 情報漏洩には先述のように、外部からのアクセスを制限できなかったことによる第三者に直接情報が渡ってしまう経路と、内部ユーザを含めた正規のユーザが、意識して、または盗難などにあって情報漏洩を起こすものがある。
 前者の有名なものは、大手エステサロンの WEB サーバから顧客情報が漏洩したものが、そして後者の有名なものでは地方自治体の住民情報が漏洩した事件が思い浮かぶ。
 どちらも情報漏洩としては典型的なものだ。しかし、統一的にこれらの経路での情報漏洩を防ぐ方法はほとんど採用されていない。FireWall の導入やアクセス権のコントロールで、外部からの不正アクセスを防ぐなどの方策はほとんどの場合で採用されているが、正規ユーザを経由した場合の情報漏洩に対してはほとんど有効な対抗策が実施されていない。強いて挙げれば、盗難対策としての暗号化といったところだろうか。


他力本願堂本舗
杉谷 智宏

※本製品に関するお問い合せは下記のアドレスまで。
scan@ns-research.jp
──
(この記事には続きがあります。続きはScan本誌をご覧ください)
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec

《ScanNetSecurity》

PageTop

特集

アクセスランキング

  1. パラマウントベッド従業員の仮想デスクトップ環境がウイルス感染、過去のやりとりを装った不審メールを確認

    パラマウントベッド従業員の仮想デスクトップ環境がウイルス感染、過去のやりとりを装った不審メールを確認

  2. スポーツクラブNASへランサムウェア攻撃、会員管理システムに障害発生

    スポーツクラブNASへランサムウェア攻撃、会員管理システムに障害発生

  3. 富士通のプロジェクト情報共有ツールへの不正アクセス、総務省でも被害確認

    富士通のプロジェクト情報共有ツールへの不正アクセス、総務省でも被害確認

  4. 「糖質制限ドットコム」に不正アクセス、1年分の決済情報が流出

    「糖質制限ドットコム」に不正アクセス、1年分の決済情報が流出

  5. 富士フイルムへのランサムウェア攻撃、外部への情報流出の痕跡は確認されず

    富士フイルムへのランサムウェア攻撃、外部への情報流出の痕跡は確認されず

  6. やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

    やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

  7. クラウドの脅威はプロバイダ起因から利用者起因にシフト…CSAJの11大脅威

    クラウドの脅威はプロバイダ起因から利用者起因にシフト…CSAJの11大脅威

  8. 病院向け情報管理システム OpenClinic GA に複数の脆弱性

    病院向け情報管理システム OpenClinic GA に複数の脆弱性

  9. かくれ脱水から脱水状態に進行したときに起こるサインを解説(「教えて!「かくれ脱水」委員会)

    かくれ脱水から脱水状態に進行したときに起こるサインを解説(「教えて!「かくれ脱水」委員会)

  10. Apache HTTP Web Server 2.4 の複数の脆弱性へアップデート公開

    Apache HTTP Web Server 2.4 の複数の脆弱性へアップデート公開

ランキングをもっと見る