情報セキュリティ:ログの収集、機器の廃棄、災害対応、情報漏えい対策など
日常運用での対策
セキュリティは川の堤防に喩えられることがあります。川の堤防はいくら高く立派にしても、一箇所穴が開いていたり、一箇所だけ低いところがあれば、それがその組織のセキュリティのレベルになってしまいます。
例えばパスワードですが、名前と同じパスワードを使っている人がいたりすると大変ですね。そんなことありえない?ですか。多分、一般の企業ではそれはできないかも知れません。そもそも、IDと同じパスワードなどは認証システムが許可しないからです。しかし、大学なんかだと分かりません。どこかの研究室で勝手にシステムを立ち上げて、学生にアカウントを配ってしまっている可能性があります。そのシステムは大学の先生が立ち上げたのでしょうか?多分、名目上はそうです。しかし、名義は先生ですが実際は研究室の大学院生が立ち上げている場合が多いでしょう。この場合は、IDとパスワードを同じにしてアカウントを作成し、学生に対しては、後でパスワードを変えておくように言っておいてそれっきりです。しかし、中にはそれに従わない学生もいます。そもそも、学生自体が履修登録しただけで、その授業に全く出てきていないなんていう場合もあります。このような場合は、IDとパスワードが同じという状態でずっとシステムが稼働していることになります。このシステムは当然、大学のネットワークにつながっているのでしょう(多分)。こういうところが最初に狙われることになります。そんなの大学だけでしょうというかも知れませんが、大きな企業でルールがいきわたっていないような場合も心配です。
そもそも組織の中で勝手にサーバやシステムを立ち上げることはセキュリティポリシーなどで禁止すべきです。しかし、ただ禁止しただけでは、不自由ですので、学内や、社内でホスティングサービスのようなものを提供するべきではないかと思います。
社内の情報部門が管理するネットワークに、各部門である程度自由にサーバを起動してもいいということになると、いろいろ管理が厄介ですので、情報部門が管理するラックのようなところに1uサーバなどを持ち込んで情報部門でハードウェアの面倒を看るということになると、これは「ハウジング」と呼ばれたりします。これは荒っぽい喩えをすると分譲マンションのようなものでしょうか。しかし、OSやウィルス対策ソフトなどはてんでんばらばらですので、管理が十分なのかどうかも分かりません。そのような場合はホスティングサービスがいいでしょう。これは情報部門がホテルを用意してそこに住まわせるというイメージです。OSやウィルスソフトなども情報部門が用意します。
※社内でのホスティングで慣れれば、データセンターなどを利用する場合の心理的な障害も低くなると思います。データセンターが運用するホスティングでいいということになれば、レンタルサーバや仮想サーバ、クラウドでもいいと言うことになるかも知れません。
アカウントに関してはどうでしょうか。各システムごとに認証システムを作っていくのは心配という面があります。例えば、セキュリティポリシーを作成し、パスワードをIDと同じにしない、誕生日と同じにしない、固有名詞などを使わない、12文字以上で必ず記号も入れるなどと決めても守られるか心配です。このような場合には統一認証システムがお薦めです。認証システムを、各システムとは別に作ります。そして、ファイルシステムを利用するにしても、データベースシステムを利用するにしても、Webシステムを利用するにしても、ログインするには必ず統一認証システムに認証してもらうという仕掛けにします。こうするとアカウントの作成作業が簡単になりますし、管理も簡単になります。パスワードの規則なども簡単に守らせることができます。規則違反のアカウントは受け付けないように設定するだけです。社員が退職したときに、アカウントを削除するなども簡単に実施することができます。統一認証を使わない場合は、退職社員のアカウントがどこかのシステムに残っている可能性があります。攻撃者にとっては退職者のアカウントはねらい目です。在職社員ならば、自分のアカウントが乗っ取られたら、おかしいことにすぐに気づくはずです。そして、すぐにセキュリティ部門に連絡をするでしょう。しかし、退職社員のアカウントは奪われても、誰も気づくことなく、かなりの被害が出てからそのことが明るみに出るという場合があります。
※会社に不満を持って止めた社員が、残っているアカウントを使って、組織に被害を与えるケースもあります。社員が退職したら、即刻その社員のアカウントは停止しなくてはなりません。
パスワードがIDと同じなどという、うそのようなホントの話とか、組織の中で勝手にサーバを立ち上げてしまうとか、Windows XPがサポート切れになり、セキュリティポリシーで禁止されているにもかかわらず使い続けているとか、P2Pファイル共有ソフトが禁止されているのに、P2Pが入っている自宅のノートパソコンをうっかり会社にもってきて社内ネットワークに接続してしまったなどということは、組織内にセキュリティ情報、あるいはセキュリティポリシー(の実施手順書)などが周知徹底されていないことが原因です。組織内にセキュリティ情報が十分に周知徹底されるように教育を施していく必要があります。社内のセキュリティの規則はどのようになっているとか、あるいは規則はまだできていないけれどもこういうことをすると危ないよというような教育をしていかなくてはなりません。年に何回、どういう形式で(例えば、Webなどを使ったオンライン教育とか、あるいは集合教育とか)、評価はどのようにするか(たとえば、アンケートを取るとか、小テストをするとか、不合格者には、別の教育を課すとか)などを、予め決めておく方がいいでしょう。できれば、セキュリティポリシーを作ってその中に、教育について明確に規定し、実際の教育が組織の長の指示で行われているという形にすべきです。
セキュリティの管理部門では、セキュリティ情報などを収集することに努めなくてはなりません。購入時には安全であるとみられていたものが後にセキュリティホールを持っていると分かることもあります。OSやアプリケーションソフトでも頻繁にセキュリティホールが見つかり、そのたびにパッチの情報などが発表されています。このような場合にはメーリングリストなどを利用して、社内に周知徹底する必要があります。ただし、メーリングリストを利用するときは、メーリングリストそのものが外部のクラッカーに乗っ取られないように注意しなくてはなりません。
ウィルスソフトのアップデートなどもメーリングリストを使って即時に行ってください。ただし、ウィルスソフトのアップデートや定義ファイルの更新などについては自動的に行えるような仕組みにしておく方がいいでしょう。
セキュリティ管理者には大きな権限が集中してしまうかも知れません。この管理者が不正を働くと非常に気づきにくいという問題があります。セキュリティ管理者の権限は、複数人で分担して行うようにするとか、その複数人が互いにけん制するような管理方法を導入するなどの工夫が必要になるかも知れません。また、一人の人間に大きな権限が集中したまま、何年もその状態が継続するということがないようにしなくてはなりません。
ログの収集
情報セキュリティでは、機密性、完全性、可能性が3大要素とされていますが、それ以外に真正性、責任追及性(追跡性)、信頼性が加わって6大要素とされる場合もあります。更に、否認防止を加える場合もあります。
責任追及性は、何時、誰が、どのPCで、どのような操作をしたかを的確に把握できるようにしておくことです。このような記録をログ(log)といいます。ログには誰がどのような操作をしたか(操作ログ)以外に、認証ログ、アクセスログ、イベントログ、通信ログ、印刷ログなど様々なものがあります。
ログ管理の目的
ログ管理の目的には障害対策や不正防止、規制上の記録義務などがあります。障害や情報漏えいなどのトラブルが発生したときに、犯人を追跡したり、原因を探求したりするためにログを取るのが一般的です。
■障害対策
ログを確認すると、障害が発生する前に何が行われ、事後にどのような状態になったかが分かります。例えば、Webシステムのトラブルの直前には、アクセスの急増や、ネットワークトラフィックの増大などがあることが分かれば、次に同じような状態になったときに、先手を取って障害を未然に防ぐことができるかもしれません。
■不正防止
ログを見ると情報漏えい事件が発生したときに、誰が、何時、どこからアクセスしたかを把握することができます。
ログを監視していることを社内に公表すれば、内部犯罪を抑止することもできます。また、事件が起こって、内部犯罪が疑われたときに無実を証明するために役に立つこともあります。
■規制上の記録義務
規制の上からログの監視が義務付けられている場合もあります。近年、大企業による有価証券報告等の虚偽記載に関連した事件が相次いで起こりました。こうした事件を受けて、金融商品取引法の下では、経営者に有価証券報告書に虚偽の記載のないことを保証する義務を課しました。しかし、会計の専門家でない経営者にそれを求めるのは無理がありますので、併せて、正確な財務情報が開示されるような内部統制体制を整備して、それが有効に機能していることを示すために内部統制報告書を提出させることとしました。
「内部統制」とは、「社内のルールとそれを遵守するための仕組み」です。社のルールをちゃんと決めて、それを社内のみんなで守っていく、この中には有価証券に関するルールも入りますし、情報漏えい対策なども絡んできます。これなら、企業の組織、体制、運営の問題であり、企業経営者にとっても専門分野のはずですから、これに期待しようというわけでしょう。
法的には、「内部統制報告制度」が施行される以前から、「会社法」には「業務の適性を確保するための体制」が明記されていて、法令順守、業務の効率化/有効性や会社資産の保全を適切に継続していく「内部統制」は、あらゆる企業に存在していました。しかし、内部統制が存在していたとしても外から見て、はっきりと分からないと外部の投資家にはその会社がどうなっているのか分かりません。不安があると投資をしてくれません。そこで、外部の投資家の信用を得るには、財務報告に関して、内部統制が外からも見えるようにしようとしたわけです。
この内部統制報告書の一環としてIT統制があり、ログデータが対象となっています。つまり、上場会社では、ログの監査が義務付けられています。
通常のログは専門家でないと読み取れないような記号の羅列です。内部統制の担当者は情報の専門家ではないでしょうから、多分障害対策や不正防止のためのログを読み取ることはできません。内部統制用のログは、素人が見ても分かるように翻案されていなくてはなりません。内部統制で求められるログは障害対策や不正防止という観点ではなく、会社の経営状態を外部の投資家に提示するためのものですので、システムを横断したものとなります。
内部統制で求められるものは、例えば「深夜なのにシステムにアクセスした社員」「休日にもかかわらずシステムにアクセスした社員」「アクセス権がないデータベースにアクセスした社員」「決められた端末以外からアクセスした社員」「パスワードを間違って何度も入力している社員」「USBなどに機密情報をコピーして持ち出した社員」などを知ることです。複数のシステムのログを、横断的に整えて、それを集計し、分析し、グラフ化して、素人でも容易に理解できるように表示するツールなどが求められています。
ログの種類
ログの種類には、操作ログ、認証ログ、イベントログ、通信ログ、印刷ログ、設定変更などがあります。
■操作ログ
ユーザがした操作の記録を残すのが操作ログです。情報漏えいが起きた時の調査に役立ちます。機密情報をUSBなどの可搬性の記憶装置にコピーしたなどの操作をログに残します。
■認証ログ
いつ誰がPCにログインしたかをログとして残します。閾値を決めておいて、それを越えてログインエラーを引き起こした社員を要注意とします。
■イベントログ
異常イベント、ログオン/ログオフ、ファイルアクセスなどのセキュリティ情報を残します。終業時間を過ぎてログインしている社員がいるか注意が必要です。
■通信ログ
通信中にサーバとやり取りした内容を記録するために使われます。通信エラーの内容を取得することで、サービスの改善に役立ちます。
■印刷ログ
印刷したドキュメントのプリンタ名、タイトル、印刷枚数、印刷対象ファイルを記録します。情報漏えい事件の調査などに役立ちます。
■設定変更
権限を持つ担当者が設定を変更した際に残されます。内部犯行が発生した際の資料となります。
機器の廃棄
HDDの廃棄
使われなくなったパソコンや記憶媒体にはデータがそのまま残っている可能性があります。このようなパソコンや記憶媒体をそのまま廃棄したり、他人に譲渡したりすると、データが悪用される恐れがあります。特に企業で利用されていたパソコンなどを意図的に購入し、保存されているデータを抜き出して機密情報を入手するという手口も実際に行われているようですので注意が必要です。
データの消去は簡単ではありません。データを削除しただけでは、完全には消えていません。フォーマットしても物理的にはデータは残っています。表面上はデータは見えませんので、安心して廃棄してしまうと、データを盗まれてしまう可能性があります。
データを消去するということはどういうことでしょうか。①「ごみ箱」に捨てるとか、②「削除」操作を行う、③「ゴミ箱を空にする」コマンドを使う、④フォーマットする、⑤付属のリカバリーCDを使って、工場出荷状態に戻す、などいろいろの方法があります。
「ゴミ箱」に捨てるという操作は、ごみ箱という名前のフォルダに移動しただけですので、削除したことにはなっていません。OSの普通の操作で、普通に読むことができます。
②③はOSの操作では読み出すことができない状態になっているだけです。ハードディスクという入れ物にはデータはそのまま残っているのですが、特定のデータがどこに書かれているのかを知るための手がかりがなくなっている状態です。ファイルシステムでは、ハードディスクに書かれているデータのかたまりに対して、ファイル名(ディレクトリ名、フォルダ名なども同様)が付けられ、ファイルエクスプローラなどのツールでファイル名をマウスクリックすると、実際のハーディスク上のファイルを見ることができるというわけです。②③の操作を行うと、このファイルエクスプローラ上のファイル名、と実際のハードディスク上のデータを結ぶための手がかりがなくなってしまいます。HDD上の特定のデータ領域とファイル名が糸で結ばれていたのが、その糸が切れてしまった状態だと思ってください。しかし、データは残っていますので、特殊なソフトウエアを使えば読み取ることが可能です。
(ファイル)フォーマットは、データをコンピュータの記憶装置にどのように保存するかの形式を定めることです。データを記憶装置にどんな形式で、どんな順番で記録するかの定義です。ファイルフォーマットをするということはこの形式を、ハードディスクに適用する作業ということになりますので、元のデータはそのまま残っています。しかし、新しいファイルシステムを構築することになりますので、ファイルに関する情報が一部上書きされることになります。つまり、一部のデータは失われることになります。それ以外のデータはそのまま残っています。ただ、データとして残っていても、新しいファイルシステムでは、古いファイルシステムで作ったファイルを読むことはできません。しかし、データは残っていますので、専用ソフトを使えば復元は可能です。
リカバリーCDを使って工場出荷時に戻す方法もデータは残ります。一般的に、メーカ製のPCではHDDの中にリカバリー領域を持っていて、そのデータ領域だけで、それ以外は②③と同様に読み取ることのできる手がかりをなくしてしまうという手法です。データそのものは残りますので、専用ソフトを使えばデータを読み取ることができます。
ハードディスクに残ったデータをどのように処理するかについては、社内で統一的な手順を定めておくべきです。社内での窓口も一本化しておく方がいいでしょう。方法としてはいくつかあります。例えば、ハードディスクを取り出して物理的に破壊してしまうとか、あるいはハードディスクに上書きをするなどの方法が考えられます。
専用ソフトウェアを使ってデータを上書きする方法は、個人でもできます。基本的には固定パターンを1回塗りつぶして消去を行えば大丈夫でしょう。ただし、1度や2度上書きしても、物理的には磁気が残っていますので、残留磁気からデータを読み取ることが可能です。機密情報などが入っていて心配だという場合は2回行えばいいでしょう。
※磁力顕微鏡(MFM、magnetic force microscope)などを使って再生させることも可能です。磁気顕微鏡はナノテクノロジーの分野では有名な「走査型プローブ顕微鏡」のバリエーションの一つです。「走査型顕微鏡(scanning
probe microscope)」は先端をとがらせた探り針を使って、物質の表面をなぞっていき表面状態を拡大観察します。磁気顕微鏡は走査型顕微鏡の探り針に磁性膜をコーティングして、微小な磁気の変化を捉えてそれを電気信号に変えることで物質の表面を見ていきます。磁気顕微鏡で読み取った残留磁気を、専用ソフトで解析するとデータの復旧ができます。
磁力顕微鏡にはどれくらいの威力があるのでしょうか。数回上書きした位では、元のデータを読み取れてしまいます。残留磁気を読み取り不可能にするには35回上書きを繰り返す必要があります(グートマン方式)。
逆に言うと磁気顕微鏡でもデータが復旧できない位に上書きを繰り返せば、データは解読不可能となります。
磁気顕微鏡でデータを復元するには、幾らくらいかかるでしょうか?実際にこのようなサービスを提供している業者はないようですので、実際は分かりませんが、実費レベルで数百万円かかるのではないかといわれています。これだけ高額となると、実際にこんなことをしてデータを復旧する人はいないと考えていいと思います。国家レベルで何かを知ろうとする場合以外は・・・
米国の国家安全保障局(NSA)や米国の国防総省などが上書きについて標準を定めています。実際のデータ廃棄では、専用のソフトで2回くらい上書きすれば十分だと思います。
※パソコンそのものが故障してしまっている場合は、HDDを取り出して、他のパソコンに装着してから消去作業をしてください。あるいはそれが厄介だというなら、取り出して物理的に破壊するか、強磁気で消去するなどしてください。
ハードディスクに強い磁気を当てて、磁気の記録を消磁するという方法もあります。消磁装置は大変高価な機械ですので、テータ消去を行っている専門会社のサービスを受けることになるでしょう。大規模な会社で定期的に、ハードディスクを大量に破棄しなくてはならない場合は、このようなサービスを利用するのがいいのではないでしょうか。
専用の機械を使ってハードディスクを物理的に破壊するという方法もあります。厳密な意味ではデータの消去ではありませんが、機械を壊してしまえば、データの読み取りは不可能になります。最近では、この方式のサービスを提供してくれる販売店などもあるようです。
※ハードディスクを取り出して、自分でハンマーなどで叩き潰すのは止めてください。最近のハードディスクはデータを記録している円盤(プラッター)がガラス製ですので、簡単に粉砕してしまいますので、極めて危険です。
CD/DVDの廃棄、紙の廃棄
紙からの情報漏えいについても配慮が必要です。経費節減で裏紙を利用していたら、そこから情報が漏れてしまったという場合もあります。特に個人情報などが記載されている紙についてはシュレッダなどで処理してください。より機密な情報が含まれている場合は溶解するなどの手段も考えられます。
CDやDVDなどを破棄するにはシュレッダーにかけるといいでしょう。紙と同様に処理できるシュレッダがあります。
災害対策
日本は地震、津波、火山噴火、台風などの災害大国です。これ以外にも、近年の異常気候で、水害などの心配もあります。更に、火災などにも備えておく必要があります。地震災害の際の火災などにも要注意です。
災害対策
■火災対策
コンピュータ/サーバ室、データセンターなどは電気設備、電子装置がたくさんありますので、火災が発生しても水で消火するわけにはいきません。水をかけると高価な装置が全部だめになってしまいます。電気施設などの消火には主として不活性ガス消火剤(窒素、アルゴン、二酸化炭素の混合ガス)や「ハロゲン化物」消火設備などが利用されます。
火災を未然に防ぐための火災予兆検知システムの導入なども有効です。コンピュータルームは熱に弱い装置がたくさんありますので、空調設備が整っているのが普通です。空調設備は部屋の中の空気を強制的に循環させていますので、この循環気流により熱や煙が弱められてセンサーが作動しにくいという面があります。いくらハロゲン化物の消火装置を備えていても、一旦火事が起こってしまうと、データがどうなるか分かりません。何としても、火事の発生は未然に防がなくてはなりません。最近では、火災の予兆を捉えることで予防しようとするシステムが登場しています。ある製品は、監視エリアの空気を多数のサンプリング孔から常時吸引し、エリア全体を超高感度で監視し、室内空気に含まれる浮遊物質の変化を連続的に正確に把握することで、日常と異なった状態をいち早く捉え、予兆を検知します。検討の余地があるかも知れません。
■空調対策
コンピュータルームには高熱に弱い装置がたくさんありますので、空気の温度を一定にして、空気を強制的に循環させる必要があります。空調が知らないうちに止まることがないように、空調の電源は他と別系統にしておく方がいいでしょう。
■地震対策
日本は世界でもまれな地震大国ですから、何時巨大地震に襲われても不思議ではありません。サーバ類はタワー型のものはやめて、1u、2uなどのユニットにして、ラックに格納し、ラックに転倒防止策を施してください。場合によっては、サーバ類は、免震構造の建物に収めるか、それができない場合は、免震構造を備えたデータセンターなどに退避することも考えてください。また、海岸沿いの場合は、津波対策も必要になります。津波が心配な地域では、データセンターの活用などを考えてください。地震や津波では、データセンターも被害を受ける可能性がありますので、データセンターの場所についても、同一地震、同一津波の被害が及ぶ範囲外にあるかを検討してください。
■電源対策
停電時に電源供給をしてくれるCVCF(constant voltage constant frequency、定電圧定周波数装置)やUPS(uninterruptible
power supply、無停電電源装置)などが必要です。
USBは、停電時に電源供給を行う装置です。サーバやPC類は突然の電源喪失や電圧喪失に対する耐性がなく、データを失う恐れがあります。UPSは一般的に、数分間の電力供給を行うだけの容量しか持っていません。その間にサーバやPCはシャットダウンを行うか、あるいは非常用の電源装置に切り替えて使用します。
CVCFは定電圧定周波数装置で、商用電源が切れた場合の停電補償を主目的とする装置ではありません。コンピュータや計測装置などは、電圧や周波数変動に弱いため、商用電源をそのまま使うのではなく、CVCF機能を持つ電源装置から供給された電源を使うのが良いとされています。
■パンデミック対策等
インフルエンザなどが全国的に大流行したような場合には、自宅待機や、サテライトオフィスへの出勤などで対応しなくてはならないこともあるかも知れません。その時に備えて、シンクライアントシステムの導入や、ホスティングサービスの提供、あるいは仮想サーバの導入などについて検討していく必要があるでしょう。
※シンクライアントはユーザが使用する端末(クライアント端末)の機能を最小限にとどめて、サーバ側で処理を行う仕組みです。
バックアップセンターおよびIDC
システムの可用性のためにはバックアップが是非とも必要ですが、バックアップしたデータをどこに保存するかも重要です。災害発生時には元のシステム、データともども、バックアップデータも破損してしまう可能性があります。大企業などでは、バックアップ用のデータを保管するための場所としてバックアップセンターを運用しているところもあります。もちろん、バックアップセンターは地震などの災害時に、同じ被害を受ける恐れのない場所を選定しなくてはなりません。しかし、1つの会社でバックセンターを運用するのは大変ですので、そのような場合はデータセンター(IDC)のようなところを選ぶのも1つの方法です。
※データセンターのうち、インターネット接続に特化したものをインターネットデータセンター(iDC、IDC)と呼びます。
データセンターは、「コンピュータ機器などのIT機器を、設置・管理・運営する物理的な施設」を指します。通常企業は自社のIT機器を自社の建物内に設置し、日常業務で使用するアプリケーションやシステム、データベースなどをサーバ上で動かしていますが(自社運用、オンプレミス、on-premise)、スペースの問題やセキュリティの問題、あるいは災害対策などで、これを社外に預ける場合がありますが、この際に利用する施設がデータセンターです。
データセンターは災害対策として利用する企業が多いだけに、災害に強そうな場所に設定されています。例えば、津波の被害を受けそうもない所とか、活断層から離れた場所とか、地盤のしっかりした地域などです。また、耐震構造や免震構造を備えた建物の中に設けられています。また、セキュリティ上の理由から、入退出検査も厳重です。監視カメラも設置されています。また、停電などでIT機器の稼働が停止しないようにUPSや自家発電装置などが備えられています。もちろん、温度対策や湿度対策にも気を配られています。
データセンターの利用の仕方としては、IT機器(1uや2u、あるいはブレードサーバなど)を預けて、運用自体は自社で行うような利用方法(通常、ハウジングといいます)、あるいはIT機器を預けて運用も委託するような利用方法(マネージドサービス)、あるいはデータセンターが保有する機器をレンタルするホスティングサービス・レンタルサーバサービスを受けるという場合もあるでしょう。
ホスティングやレンタルサーバという選択肢はデータセンターが提供するサーバを複数ユーザで共有する形になりますので、自由度に欠けます。この自由度を高める方法がクラウドサービスの利用です。クラウドサービスでは仮想化されたサーバを利用できるので、一人1台を使っているような感じです(実際に仮想化されたサーバを1台使用しています)。CPUの処理能力が低いと思えば必要に応じて増やすことができますし、メモリが足りないと思えば増やすことができます。HDDも足りなければすぐに増やして、要らなくなれば、直ぐに返すことができます。
事業継続計画
事業はいったん始めたら途中でやめることは許されません。停止すれば、その間に本来得られるべき営業利益を失うことになります。事業を停止している間に、取引先や顧客を失う恐れもあります。その結果、事業からの撤退を余儀なくされることさえあります。あるいは、その事業からの撤退が、取引先を存続の危機に引き込んでしまうことさえあり得ます。いわゆる連鎖倒産です。事業を継続できるかは、取引先への影響、従業員の職場の確保という面からも、非常に重要になってきます。
企業経営者には個々の企業の事業形態・特性などをよく考慮したうえで、企業存続の生命線である「事業継続」を死守するための計画を作成することが望まれます。事業継続の計画はBCP(Business
Continuity Plan、事業継続計画)と呼ばれますが、単なる計画だけでなく、その運用や、見直しまでを含めたマネジメントであるBCM(Business
Continuity Management)の構築が望まれます。
現時点ではBCP、BCMには様々な定義が与えられていますが、英国規格協会が作成した指針では、BCPは「潜在的損失によるインパクトの認識を行い実行可能な継続戦略の策定と実施、事故発生時の事業継続を確実にする継続計画」、BCMは「組織を脅かす潜在的なインパクトを認識し、利害関係者の利益、名声、ブランド及び価値創造活動を守るため、復旧力及び対応力を構築するための有効な対応を行うフレームワーク、包括的なマネジメントプロセス」と定義されています。
BCP・BCMは事故や災害が発生したときに、「如何にして事業を継続させるか」もしくは「如何に事業を目標として設定した時間内に再開させるか」について様々な観点から対策を講じることです。
企業としては、そのBCP・BCMを企業内に浸透させ、戦略的に活用していくことが重要です。BCPの重要性を企業内に普及啓発・周知させていくことによりリスク管理能力を向上させ、取引先や監督当局に対して、BCMの取り組みをアピールすることも重要です。
BCM構築の流れは次のようになります。
①ビジネスインパクトの分析
事業継続に当たってのボトルネックを特定し、そのボトルネックを守るための対策を検討・実施すること
②BCPの策定
会社としてBCP方針を策定し、運用担当の組織を作り、方針を実行に移すべき計画(BCP)を策定すること
③BCMの運用
BCPを企業内に浸透させ、それを戦略的に活用すること(「マネジメントの視点」が重要)
考慮すべき点としては、近年情報システムへの依存度が増していることがあげられます。金融サービスや通信サービスの提供会社は元よりですが、そうではない一般的な企業においても在庫管理、顧客管理は情報システムや、ネットワークを前提に考えられています。仮にネットワークが停止したときにどうするか、機器の故障の場合、ソフトウェア障害の場合にどうするか、ウィルス感染、不正アクセスを受けた場合にどうするかなどを具体的に決めておかなくてはなりません。
情報システム以外にも考慮しておくべき点は様々ありますが、従業員との関係も大切です。広域災害が発生した場合は、従業員の出社が難しくなります。このような場合にどのように人員を確保するか、緊急時の復旧作業に動員される従業員のモチベーションを如何にして維持するのか、災害時の福利厚生に当てる人員も割り当てておく必要があります。
工場閉鎖ということになると、雇用問題にまで発展してしまうこともあります。大量の失業者を出すことになれば、地域経済への影響も甚大です。雇用の確保、地域社会への貢献、企業の社会的な責任などから見ても、BCPへの取り組みは大変重要なことです。
経営戦略としての位置づけも重要です。他社との差別化、株主へのアピール、取引先へのアピールにもなります。大規模な事故・災害・事件などが発生しても短時間で事業を復旧できる企業であるか否かは、消費者や企業が今後取引先を選別するうえで重要な要素となります。
BCPは緊急時・復旧時・回復時の計画を具体的に定めておくものです。様々なリスクの中から事業停止の影響範囲を想定し、事業継続・復旧の優先順位を付けて、真に必要なものを選別し、対応することが求められる。この判断には、重要な経営判断、経営者の強いリーダーシップ、トップマネジメントが求められます。
世の中には様々なリスクがありますが、事業継続計画はあらゆるリスクを想定し、どのようなことがあってもそれに対応できるように予め準備をしておくというものではありません。予測困難なテロや、自然災害に対する復旧計画、管理計画などに関しては事業継続計画とは別に、災害復旧計画、危機管理計画として準備しておかなくてはなりません。しかし、担当部署をどうするかという点で、もし同じ部署が担当するなら、事業継続計画の一環として、その中に災害復旧計画と、危機管理計画を入れ込んでしまおうという企業も少なくありません。
災害復旧計画
災害大国の日本では大地震に見舞われることもあります。気候変動の結果として、台風などが凶暴化するとの予測もあります。あるいは、火災や大規模システム障害などで、基幹事業が停止に追い込まれる事態も予想されます。その結果、財物への被害だけでなく、基幹事業が停止されている間に本来ならば得られるべき利益が失われることもあります。
災害復旧計画(Disaster Recovery Plan)は、企業が自然災害でこうむった被害や損失を復旧するために事前に準備しておくべき事項や緊急時の対応方法などを定めた計画のことで、実質的にはBCPと同じですが、BCPの一部として策定されるケースもあります。
情報システム関係では、如何にしてバックアップを取るか、どのバックアップを使って如何にシステムを復旧するかということになります。遠隔地にバックアップデータを置いている場合は、ネットワークを使って如何にリアルタイムで復旧するかについて考えておいてください。
危機管理計画
危機管理計画(CMP、クライシスマネジメントプラン)、あるいは危機対応計画と呼ばれるものは、「危機」すなわち「組織の存続そのものや事業継続を脅かすような非常事態」に遭遇した時に、被害の発生を最小限に抑えるための対応体制を整えておくことです。企業の存続を危うくするような事態は、各組織によって異なりますが、一般的には「滅多に発生しないが、ひとたび発生したら組織にもたらすインパクトが甚大なもの」と言い換えることができます。地震や爆発、噴火、テロ、風評、戦争などが例として挙げられると思います。
では、危機管理計画は、事業継続計画とどこが違うのでしょうか?どちらも「非常事態が発生た際の対応」という点では同じです。ただ、カバーする範囲が全く違います。事業継続計画は、特定のリスクシナリオを想定して、その際に必要な具体的な動きを定めるものです。例えば、大規模なシステム障害が発生して、本社の機能が数日間使えなくなってしまった時にどう対処しようかというような場合に適用されます。事業継続計画の場合は、想定外のことが起こると対応できません。危機管理計画は、このような場合にも適用できるように定めたものです。ただし、企業によっては事業継続計画の中に、不測の事態に備えるための災害復旧計画や、危機管理計画を取り込んで定めているところもあります。
インシデント対応
セキュリティ・インシデント
事業運営に影響を与えたり、情報セキュリティを脅かしたりする事件や事故をセキュリティ・インシデントといいます。意図的なもの、偶発的なものの、いずれも該当します。これらのインシデントの発生から、回復までの一連の行動をセキュリティ・インシデント対応といいます。
組織的対応の必要性
インシデントが発生した時の対応手順を予め定めておくことが必要です。対応手順書を作成し、その中でインシデントが発生た時の対応者、インシデント毎の責任範囲、権限、連絡体制などを定めておきます。訓練やバックアップ、ログの保全などについても規定する必要があります。
インシデントは、全社的な影響をもたらします、あるいは関連企業にも影響するかもしれませんので、連絡体制は特に重要です。個人情報の漏えい事件では監督官庁への連絡が必要な場合もあるでしょう。大規模な情報漏えい事件ではプレスリリースや記者会見などの必要があるかも知れません。経営管理層の経営判断が必要な場合もあるでしょうし、取引先への連絡では営業担当者の協力も必要となります。また、広報の協力を仰ぐ必要があるかも知れませんし、監督官庁への連絡では総務などの協力が必要な場合もあります。
連絡報告網の中にはトップマネジメントが含まれていなくてはなりません。
報告・連絡体制についてはきちんと明文化して、関係者全員に配布してください。特にリモートアクセス環境から社内の情報システムを使っている場合には、その連絡体制の有効性を予備訓練などを実施して確認しておくことが大切です。自宅勤務などのリモート環境でインシデントに遭遇した場合には相談する相手もなく慌てふためいてしまう可能性があります。具体的に報告する手順と、相談相手も明確にし、直ちに取るべき処置を具体的に明記しておくことが大切です。
連絡網は人事異動などで途切れてしまうことのないように気を付けてください。また、セキュリティ・インシデントは時代とともに変わるので、その連絡体制も変える必要があるかも知れませんので、定期的に見直すように心がけてください。
クラッキングやウィルス、不正アクセスなどの被害に遭遇した場合は、「まず通信配線を引き抜いて、被害を受けた機器をネットワークから切り離す」のが大前提とされています。しかし、Webページなどで業務サービスを提供しているような企業では、サーバのネットワークからの切り離しはそのまま、業務停止になることがあり、ネットワークの担当者には、重すぎる判断を強いられる場合があります。自分で判断できずに、経営層の判断を仰ごうとしているうちに被害が取り返しのつかないレベルにまで拡大してしまう可能性もあります。このような場合には、現場のしかるべき人間に暫定的なサーバのネットワークからの切り離し、あるいは社内ネットワークのインターネットからの切り離しなどに関して全権を委譲するような規定を定めておく必要があるかも知れません。
事前準備
緊急時に有効で、効率的な対応を行うためには、平時の準備作業が大切です。準備作業としては主として次のようなことが必要です。
●定期的なバックアップ
インシデントがあってデータが改ざんされても、できるだけ素早くインシデント発生前の状態に戻すには定期的な、きめこまめなバックアップ作業が必要となります。
●システムの通常状態の把握
インシデントが発生しているかどうかの判断は、システムが通常どのような状態であるかを把握している人でないとできません。もちろんツールなどを利用することもあるでしょうが、ツールが表示する警告などを正確に判断するにはシステムの通常状態を把握している現場の管理者の経験豊かな眼力が必要不可欠になります。
●外部情報の収集と修正プログラムの適用
ソフトウェアに関する脆弱性の報告の中に、今自分の会社で使用しているものはないか常に注意しておいてください。また、その脆弱性に関して修正プログラムが出ている場合は適用しておかなくてはなりません。
●予行演習
インシデント対応手順は、人が行う行為の連続ですので、インシデント対応手順を作って、セキュリティポリシーの中に規定しただけでは、うまくいくとは限りません。手順を使って予行練習をするのがいいでしょう。また、手順に関わる人が人事異動などで入れ替わる可能性がありますので、定期的に、例えば1年に1回予行訓練などをするといいでしょう。
技術的手段の準備
平時に行っておくべきことを十分に行うには人間の経験だけに頼ることはできません。情報セキュリティ侵害検知を支援するツールを導入して、普段から使い方に精通しておくことが大切です。それから、バックアップなどもできるだけ頻繁にしておかなければ、侵害前の状態に戻すことはできません。
侵害行為の検出
検出方法には、ミスユース検出と、アノマリー(anomaly)検出の2つの方法があります。ミスユース検出は既知の侵害パターンに照らして、該当する侵害の存在を検出する方法です。シグネチャ認識(Signature
Recognition)とも言います。アノマリー検出はシグネチャ認識では検出できない異常や変則的なイベントを見つけ出すための方法です。この方法は、セキュリティ侵害行為を意味するイベントは通常ではないイベントに含まれているはずだという仮定の下に、通常ではないイベントを探すことで、検出を行う方法です。
いずれにしても適切なツールを導入して、事前に準備をしておくことが大切になります。
侵害行為の検出については他社(者)から連絡を受けることもあるでしょう。この場合には、自らその情報の真偽を突き止めなくてはなりません。また、スパムとか標的型の攻撃などは一般ユーザから情報がもたらされる場合もあると思います。
●ツールの利用
インシデント対応は人が行うプロセスですが、自動化できるところも多くあります。自動化できるところは自動化して、効率よく作業してください。例えば、ファイルやディレクトリの監視するためにはTripwireなどが有効です。Tripwireを使うと、ファイルやディレクトリがいつどのように変更されたかを知ることができます。また、不正に改ざんされたり意図せずに破損してしまった場合などには以前の状態に戻すことができます。
※TripwireはTripwire社が開発するツールで、無償で公開されているオープン版と、同社が販売している商用版があります。
発生したインシデントの状態はできるだけ完全な形で保存してください。リムーバブルなメディアにフルコピーを取ります。インシデントの技術的な問題を分析するのに役に立ちますし、証拠資料として使うこともできます。
進行中のインシデントの場合や、バックアップ手段では取れない情報は控えておくのがいいでしょう。例えば、ネットワークの接続状況、ログインユーザ、プロセスなどは控えておいてください。
当該インシデントに関する外部情報が出ていないか確認してください。JPCERT/CCやIPA/ISECなどがWeb上に情報を出していますので、確認してください。
対応手順
本当にインシデントなのだということになったら、インシデント対応手順で確認、報告します。
セキュリティポリシーで定めた連絡網に従って報告をしてください。外部関連組織との連絡も必要なら、規定に従ってください。
まずすべきことは暫定措置です。ネットワーク接続を切断して、サービスを停止します。
※できれば、セキュリティポリシーあるいはCSIRT(シーサート、Computer Security Incident Response Team)の規定で、現場の責任者に暫定措置として、一時的にネットワークを切断する権限を与えておくことが望ましいと思います。
※CSIRTはコンピュータセキュリティの事故対応チームのことです。迅速なインシデント対応をすることを目的として作られます。企業・組織内に設置されたチームで、セキュリティインシデントに関する報告を受けとり、調査し、対応活動を行います。
まだCSIRTは作られていないという場合は、セキュリティポリシーに従って、ネットワークの切断、サービスの停止をすることがあり得ることを上級管理者(特にセキュリティポリシー上、最高の管理者、例えば総括責任者のような名前を与えられている管理者)によく理解してもらって、事前に承認をもらっておくことが大切です。
暫定措置ができたら、次は本格的な措置に移ります。本格的な措置もセキュリティポリシーに定められたインシデント対応の手順に従います。
発生原因を特定して、再発防止策を施します。対応手順は一通りではないと思います。脆弱性に対するパッチを適用し、プログラムの設定値等の修正だけで済む場合もあるかも知れませんが、最初からやり直しという場合もあるでしょう。
サーバへの侵入インシデントが発生し、その攻撃者がシステム特権(root権限、アドミニストレータ権限など)を得ている場合は、システム全体が乗っ取られている可能性があります。攻撃者によっては、再度侵入する場合に便利なようにバックドアを仕掛けている可能性もあります。このような場合は、侵入検出プログラムを使っても、マルウェアを仕掛けられていないこと、システムを改ざんされていないことなどを完全に保証することはできません。徹底的に調べてもまだ安心できないということなら、最初からシステムを構築し直す方がいいでしょう。
再度、システムを再構築する場合は、OSを再インストールするところから始めなくてはなりません。信頼できるメディアからクリーンなシステムを再インストールして、アプリケーションも再インストールしてください。利用しているアプリケーションに修正プログラムがある場合は、それを適用してください。
この後、設定ファイルの情報やデータをバックアップから復旧します。何時のデータからバックアップするかについては、注意が必要です。もしかしたら、バックアップしていた時点で、既にウィルス等に感染していて、まだその症状が出ていないだけ、あるいはまだ気づいていないだけという場合もあるからです。原因を検証して、何時から侵害行為が始まっていたのかをよく確認してください。バックアップデータは、まだ侵害行為の始まっていない状態での最新情報でなくてはなりません。
改善作業
時系列で記録を整備しておくと役に立ちます。事後反省会を開き、良かった点と改善すべき点をリスト化します。事件の簡単な経緯と、改善点などを記載した報告書を作成し、責任者(セキュリティポリシー上で定められた最高責任者、例えば総括責任者)に提出します。改善点をセキュリティポリシーの手順書等に反映させ、技術的な対応策や、組織的対応策を改善します。
リモート接続の脆弱性対策
インターネット通信が便利になると、郊外の自宅のパソコンから、都心のオフィスのシステムにアクセスして仕事をすることも可能です。自宅では、いろいろ不便なことがあるということになれば、郊外のサテライトオフィスから都心の、都心でなくても構いません、リモートのオフィスにアクセスして仕事をするということもできます。営業マンなどは朝事務所に出社せず、直接顧客先に出向き、会社のオフィスのシステムにアクセスして報告書を作成し、そのまま帰宅するということも可能です。このような手法は災害時の勤務形態としても有効です。このような勤務形態を実現するには、自宅のパソコンから、あるいはサテライトオフィスのパソコンから、更に出張先からノートパソコン(やタブレット端末、あるいはスマートフォン)を使って、本社のシステムに安全にアクセスすることが重要です。
このような勤務形態を認める場合に注意するべきことは何でしょうか。パソコンは会社で支給しなくてはなりません。このパソコンには会社で指定したアプリケーション以外はインストールさせないようにします。家族での共用を許すとP2Pファイル共有ソフトをインストールされ、著作権法違反をしてしまうとか、ウィルスに感染して、それが会社のネットワークにまで蔓延してしまうということにもなりかねません。会社にはリモート接続用のサーバを設置しアカウントの設定をします。認証には統一認証システムを使ってください。パスワード認証が心配という場合は、ICカード、ワンタイムパスワード、あるいは生体認証を導入します。通信には、インターネットVPNで暗号化通信路を構築します。WebサーバはHTTPSを使って通信内容を暗号化するようにしてください。更に、ウィルスソフトが自動的にインストールできるようにシステムを構築し、定義ファイルも自動更新されるようにしてください。更に、検疫ネットワークなどの検討も必要となります。
リモートからのアクセスを許す場合は、アカウントによっては、アクセスする範囲を限定するとか、アクセス時間を限定するなどの必要が出てきます。アクセス時間無制限で許可していると、勤務時間外に不正侵入している攻撃者が、自宅からの正規従業員のアクセスに紛れて見つけにくくなります。役職や所属部署によって、どんなファイルにアクセスできるのか、書き込み/読出し/実行のうちの何が許されるのかなどについても細かく設定してください。
それから自宅勤務者にはログインしたまま外出することを禁止するとか、スクリーンセイバーにパスワードを適用させるとか、ノートパソコンにパスワードを記憶させないとか、データをPCにダウンロードさせないなどの規則を守らせる必要があります。
出産後自宅勤務だった女性社員が再度事務所勤務に戻った場合とか、営業職の社員が内勤になった場合などはどうするのか、予めよく決めておく必要があります。いったん支給した会社のPCからいつでもオフィスのサーバにアクセスできる状態で放っておくと悪用される可能性もあります。このような場合は外部接続用のアカウントを即座に停止するか、外部接続用の装置自体を撤去するなどの方法を選んでください。出張の場合に備えて、外部接続用のアカウントを作成したときは直ぐにアカウントを削除するのか決めておいてください。
ネットワークアクセスサーバへの登録の条件としてセキュリティの知識を要求してもいいのではないかと思います。例えば社内でセキュリティポリシーが決まっている場合は講習会を開いて、出席の履歴が残っている社員にだけ、あるいは講習会出席者に小テストを課して、合格した社員にだけアカウントを発行するとか、いうのはどうでしょうか。講習会では、時間的に厳しいという社員がいる場合には、オンラインの講習でもいいと思います。
情報漏えい対策
情報漏えい経路
機密情報の漏えいや個人情報の漏えいは企業にとっては致命的な影響を与える可能性がありますので、極めて重要です。機密情報や個人情報の漏えいを防止するには、どのような経路でそれが行われるかを知り、その経路毎に対策を施すことが大切です。
| 漏えい経路・媒体 |
比率 |
| 紙媒体 |
51.4% |
| インターネット |
14.3% |
| 電子メール |
12.4% |
| USB等の可搬記録媒体 |
12.0% |
| PC本体 |
4.1% |
| 携帯電話スマートフォン |
1.5% |
| 不明 |
1.5% |
| FTP |
0.1% |
| その他 |
2.6% |
2015年 情報セキュリティインシデントに関する調査報告書
NPO 日本ネットワークセキュリティ協会
セキュリティ被害調査ワーキンググループ
~漏えい媒体・経路~ |
紙の持ち出しによる情報漏えいとその対策
機密情報を紙に打ち出してしまうと非常に危険です。紙に印刷したものは後で自由にコピーすることができ殆ど証拠が残りません。
機密情報は印刷しないようにセキュリティポリシーなどで決めてしまってもいいかもしれません。機密情報を扱うような会議は必ずペーパーレス会議とします。どうしても紙に印刷する必要がある場合は、電子透かしを施すことも考えてください。
紙に印刷して自宅に持ち帰ることはセキュリティポリシーで禁止する方がいいでしょう。自宅勤務は難しいですね。機密レベルの高い情報はリモートアクセスサーバ経由ではアクセスできないようにするとか、機密レベルの高い情報にアクセスできる社員には、自宅勤務は認めないとか、対策が必要です。
※電子透かしの技術には大きく分けて見える透かし(知覚可能型)と見えない透かし(知覚困難型)があります。見えるタイプには重畳印刷(常時視認)と、地紋印刷(隠し文字印刷)があります。見えない透かしには、「地紋透かし」と「フォント透かし」があります。
| 名前 |
技術 |
効果 |
| 重畳印刷 |
印刷物のヘッダ、フッタ、背景に最初から、見てわかるように注意を呼び掛ける情報を埋め込む方法 |
不正持ち出し抑制効果 |
| 地紋印刷 |
警告情報や注意を呼び掛ける情報を埋め込んで、コピーした場合にそれを浮き出させる方法。背景に印刷する文字は、用途に合わせて変更することができる。 |
不正持ち出し抑制効果 |
| 地紋透かし |
印刷者の情報を見た目では分からないように背景地紋に埋め込む方法 |
偽造防止効果やコピー抑止効果 |
| フォント透かし |
印刷者の情報を見た目では分からないようにフォントに埋め込む手法 |
偽造防止効果やコピー抑止効果 |
地紋透かしは、数十バイト程度の印刷者の情報を背景の地紋の中に繰り返し埋め込みます。見た目では分かりませんが、スキャナーで読み取るとその情報を取り出すことができます。原本、コピー、印刷物の一部からでも印刷者情報を取り出すことができます。複数回コピーを繰り返しても情報を取り出せます。
フォント透かしも、数十バイト程度の印刷者の情報を背景の地紋の中に繰り返し埋め込みます。見た目では分かりませんが、スキャナーで読み取るとその情報を取り出すことができます。原本、コピー、印刷物の一部からでも印刷者情報を取り出すことができます。複数回コピーを繰り返しても情報を取り出せます。この方法は日本語や、英語以外の印刷物にも適用が可能です。
情報漏えいの経路としては、紙媒体が最も可能性が高いことが調査の結果から分かっています。情報セキュリティ対策としてまず最初にやるべきことは、紙媒体からの漏えいを如何にして防ぐかです。シュレッダーの活用とか、裏紙の利用禁止、紙の持ち出し禁止などをポリシーとして定め、周知して、実施に移していくことが大切です。会議や事務処理をできるだけペーパーレスの方向に進めていくべきではないでしょうか。
メディア経由での情報漏えいとその対策
USBメモリやCD-R、DVD-R、MOディスクなどの可搬性の記憶メディアから漏えいする場合も見逃せません。可搬性メディアは小さくて持ち運びが楽なため、紛失してしまう可能性が高くなります。そして、中にデータが記録されてある場合は、そのデータを抜き取られてしまうかも知れません。もちろん外部からの侵入者や内部犯行者が、可搬性のメディアに情報を抜き取って盗んでしまうことも考えられます。
最近のUSBメモリは爪先ほどの大きさで数GBの容量のものもあります。また、スマートフォンも利用形態/接続形態によってはUSBメモリと同じ扱いになることがあります。また、スマートフォンのSDカードを抜いてPCに挿せばUSBメモリと同じようにデータを書き出すことができます。もちろん、SDカードを単独で持ち込んで、PCに挿す場合も考えられます。
※USBメモリを媒介としたウィルスにも注意が必要です。
具体的には次のようなことが考えられます。
●メディアを入れたカバンを紛失した、例えば、電車の網棚に置いたまま忘れて電車を降りてしまった。
●ワイシャツのポケットに入れておいて、紛失してしまった(かがんだ時などに簡単に落ちてしまいます)。
●自宅のパソコンにデータを移したが、その後パソコンがウィルスに感染して情報が漏えいした。
※自宅のパソコンが家族共用のものである場合、高校生や大学生が、親に無断でP2Pファイル共有ソフトをインストールしてしまっているなどという場合があります。
可搬性のメディを利用する際の情報漏えいに対するリスク軽減では次のような方法が考えられます。
●機密情報や個人情報は可搬性メディアには格納しない。
●機密情報や個人情報はできるだけ暗号化して保存する。
●どうしてもUSBメモリに情報を格納する必要がある場合は、会社管理のUSBメモリを使用する。
●USBメモリは暗号化の機能があるものを選択する。USBメモリ以外の可搬性メディアを利用する場合でも、暗号化などのセキュリティ対策機能を持っているものに限定する。
●USBメモリの認証は出来れば、生体認証付きのものとする。パスワードが可能なものの場合も、他人から類推されにくいパスワードになるように工夫する。
●どうしても情報を持ち出す必要がある場合でも、必要以上のものは持ち出させない。
●管理者が承認したファイル以外は持ち出させない。
●情報を持ち出す場合には、事前に申請して承認を得る。そのために、どのファイルは誰が承認するのか、どのような手順で承認するのか規則として予め決めておく。承認の上持ち出した場合は、誰が承認したか、誰が持ち出したか、誰に見せたかを管理簿に明記する。データは利用後、削除する。削除した場合は、そのことを明記する。社内、取引先に関わらず閲覧だけで、データそのものは渡さない。
●ファイルの持ち出しについてはログを取得し、定期的にチェックする。閾値以上に持ち出しが多い人がいたら管理者にメールで通知する。必要なら、管理者はその社員から理由を聞き出す。
※ウィルス対策としては、USBメモリの自動再生機能を停止する。USBメモリをPCに差し込んだ場合は、ファイルを開く前に、必ずウィルスチェックを実行する。
●≪さらにセキュリティを徹底したいという場合の対策例≫会社支給のコンピュータでは、BIOSの設定でUSBメモリを使えなくしてしまう。FDドライブ、CD-Rドライブ、DVD-Rドライブなどの外部メディアへの書き込みを可能とする機器を取り除いた上で、自前のノートパソコンなどを会社に持ち込むことを禁止する。
スマートフォン経由の情報漏えい
スマートフォンはUSBメモリと同様に、外部記憶装置として機能します。オフィスで誰かがスマートフォンの充電をしていてもたぶん誰も咎めないのが現状だと思います。しかし、充電しているふりをしてスマートフォンにデータをコピーしている可能性もあります。
また、USBメモリやCD-Rなどが使えないようになっているパソコンからでも、スマートフォンの機能を使ってデータを書き込むことができます。たとえば、音楽管理ソフトを使って、PCとスマートフォンを同期させ、スマートフォンにデータを書き込むことができます。
スマートフォンにはBluetoothの機能が付いていますが、Bluetoothの通信機能を使うと10m以内なら(たとえ障害物があっても)データの転送ができます。近くのロッカーなら中に入れたスマートフォンに、自分の席のPCからデータを転送することが可能です。
スマートフォンには「テザリング」の機能が付いています。テザリング(tethering)とは、通信端末を内蔵したモバイルコンピュータ(例えば、テザリング機能の付いたスマートフォン)を外付けモデムのように使って、他のコンピュータ等をインターネットに接続する機能です。社内の正規のルートを使ってインターネットをする場合はファイアウォールや外部接続ルータ(いわゆるゲートウェイ)を経由する必要があります。ファイアウォールやルータには社内のアクセスルールに基づくアクセスリストやフィルターがついているはずですので、その許可が得られなくては外には出ていけません。しかし、スマートフォンのテザリング機能を使うと、このルールの適用されていないルートで外に出ていくことが可能で、その結果、禁止サイトへもアクセスできてしまいます。禁止サイトでのマルウェアへの感染の可能性は高く、その結果、情報が漏えいしてしまうこともあり得ます。
情報漏えい対策用のソフトウエアには、スマートフォンへのデータコピーやPCへのBluetooth認識をコントロールしたり、接続先ネットワークをコントロールできるものもあります。例えば、この種のソフトウエアをPCに導入して、デバイスごとの制御ルールを設定すると、このPCからは禁止されたデバイスを認識できなくなります。
※この種の情報漏えい用の対策ソフトを使うと、無線LAN、有線LANのUSB接続、有線LANのUSB以外の接続、モデム、シリアルポート、パラレルポート、Windowsのポータブルデバイス、イメージングデバイス(デジタルカメラ等)、CD/DVD、外付けHDD、Bluetoothなどの制御が可能です。
ネットワーク経由での情報漏えいとその対策
ネットワーク経由で漏えいする場合としては、メールの送信ミスのようなものから、外部からWebサイトへのサイバー攻撃のようなものまで様々です。サイバー攻撃とその対策については、既に説明していますので、こちらをご覧ください。また、暗号などを使った対策技術についてはこちらをご覧ください。
ここでは電子メールを、間違って他の人に送信してしまったなどといううっかりミスを中心に説明します。
電子メールの場合はネットワーク経由で送信されますので、経由するサーバ上で盗み見られる可能性があります。他にも経路上で盗聴ツールで盗み見られる可能性もあります。これらについては、対策技術で説明しておりますので、そちらをご覧ください。
電子メールでよくあるうっかりミスは、メーラで送信先を間違えてしまったとか、間違って個人情報の入ったファイルを添付してしまったとかいうことが、あります。あるいは、メーリングリストを使いまわしていて、リストの中に送ってはいけない相手が含まれているのに、そのことに気が付かずに、送ってしまったなどという場合があります。
送信先の間違いは本当にうっかりしたミスなのですが、これが少なくありません。特に社外にメールを送信する場合には、よく確認することが大切です。メーリングリストは大変便利なのですが、しばらく使い続けていると、リストの中にどんな人が入っているのか管理者以外分からなくなってしまうことがあります。特に社外の組織やグループ、会合用のメーリングリストで、メンバーが同じだと勘違いして、別の会合用のものを使ったら、思いもよらない人がメンバーになっていて、そこから情報が漏れてしまうなどということもあり得ます。
更にBccして送るべきなのに、Cc、あるいはToで送ってしまい、そこからメールアドレスが漏えいし、結果的に情報漏えいを引き起こしてしまったなどという場合もあります。
対策としては、社内講習会などで注意喚起することが重要です。会社によっては、社外メールに対して、フィルタリングソフトを利用して、予め名字や部署名、帳票名などをキーワードとして登録しておき、個人情報や機密情報を含んだファイルが添付されていないかを監視しているところもあります。ただし、これだけでは、故意による場合や、偶発的な漏えいを防げない場合も考えられます。社外メールは上長の許可が必要と決めることも可能ですが、これでは管理者はメールの査読が大変で、本来の仕事に支障をきたしてしまうことも考えられます。
メールの本文や添付ファイルを暗号化するという手もありますが、相手先で復号できないとか、暗号化した本人しか内容を確認できないなどの理由でなかなか普及するまでには至っていないようです。
社内で使っている公式のメールシステムではなく、Webメールなどを勝手に使われると、社内のメールシステムに工夫を加えても役に立たなくなります。この場合にはWebアクセスのフィルタリングソフトが有効ですが、国内外に様々な無料サービスが乱立していますので、全部を制御することは難しいと思います。
その他の情報漏えいとその対策
PC本体が盗難に遭いHDDから情報を盗まれるということもあります。あるいは、PC本体からHDDだけを抜き出して持ちだされることも考えられます。
PCは机にチェーン等で縛り付けて、鍵をかけるなどの対策が必要です。HDDは簡単に抜き取られないように対策するとか、PCにデータを残さないような仕組みを導入するなどの方法も考えられます。例えば、画面転送クライアントなどを採用し、データはサーバ上に残すようにするという手もあります。
ノートパソコンなどは社外に持ち出しますので、盗難や置忘れなどの恐れがあります。ノートパソコンは一人だけで利用するので管理がいい加減になっている場合もあります。パスワードなしでログインできるなどということが決してないように、教育などを徹底する必要があります。
情報漏えい原因
漏えい原因毎に対策を考えることも大切なことです。
| 漏えい原因 |
比率 |
| 管理ミス |
34.0% |
| 誤操作 |
15.6% |
| 不正アクセス |
14.5% |
| 紛失・物忘れ |
13.0% |
| 不正な情報持ち出し |
6.8% |
| 盗難 |
5.3% |
| 設定ミス |
4.7% |
| バグ・セキュリティホール |
1.7% |
| ワーム・ウィルス |
1.1% |
| 内部犯罪・内部不正行為 |
0.9% |
| 目的外使用 |
0.4% |
| その他 |
1.9% |
2016年情報セキュリティインシデントに関する調査報告書
(2017/6/14)
~個人情報漏えい編~
特定非営利活動法人
日本ネットワークセキュリティ協会(JNSA) |
情報漏えいの原因はどうでしょうか。新聞・TVなどのニュースでは、不正アクセス、バグ・セキュリティホール、ワーム・ウィルスなどの外的な要因による情報漏えいが大きく取り上げられていますが、実際には20%にも達していないことが分かります。その代わり、管理ミス(34.0%)、誤操作(15.6%)、紛失・物忘れ(13.0%)、不正な情報の持ち出し(6.8%)、盗難(5.3%)、設定ミス(4.7%)、目的外使用(0.4%)など、いわゆるヒューマンエラーや内部人間に起因するケースが全体の80%に達しています。
これらはいずれも、教育などによって対処が可能なものです。情報漏えい対策としては、技術的に対応するだけではなく、教育によって従業員の意識を高めていくことが何より大切なことが分かると思います。
誤操作では、誤操作によるデータ削除などがあげられます。重要情報を間違って削除してしまい、バックアップもとっていなかったなどという場合もあります。社内ネットワーク上の共有ファイルサーバに入れておいたファイルだったら、どうでしょうか。重要ファイルを共有サーバに入れておくときはアクセス権を制限しておくべきだったかもしれません。バックアップを取っていないということと、共有サーバに入れておいた重要ファイルにアクセス制限がしてなかったという意味で、二重の管理ミスをしていると言えるかもしれません。
紛失・物忘れでは、重要ファイルの入ったノートパソコンを置き忘れたとか、盗まれたという事件が頻発しています。USBメモリにも同じことが言えます。ノートパソコンやUSBでのデータ持ち出しに関しては、漏えい経路のところで説明していますので、そちらをご覧ください。
情報の持ち出しルールや、目的外使用の禁止などは多分セキュリティポリシーなどで決まっていると思いますが、後を絶ちません。何故ヒューマンエラーが多発するのでしょうか。
ヒューマンエラーの要因としては、「そもそもルールを知らなかった」、「ルールを守るつもりはあったが何らかの原因で出来なかった」「初めからルールを守る気などなかった」のパターンがあると思います。
そもそもルールを知らなかったという場合はあるでしょう。セキュリティポリシーなどを作っても作っただけで満足して、周知徹底することを忘れている場合があります。そもそもセキュリティポリシーを策定すること自体が相当のエネルギーを必要とする作業ですので、作っただけで疲れ果ててしまったということも考えられます。ルールを知らなければ守ることができませんので、社内教育を徹底して、どのような状況で何をするべきか、あるいはしてはいけないのかを、明確に具体的に指示するようにします。社内教育はセキュリティポリシー上の最高責任者(総括責任者)の指示で、全員参加の形で行うべきです。当然出欠に関しては履歴を残してください。どうしても、出席できない人のためには、オンライン教育も用意してください。
ルールを守りたくても、破らざるを得ないということも考えられます。業務量が多すぎて仕事を自宅に持ち帰らざるを得ないという場合や、短時間で業務を進めなくてはならない場合は、「個人情報の入ったファイルは外に持ち出さない」とか「メールに添付する場合は、管理者の承認を得る」などのルールがあったとしても、それを守ることが難しくなります。このような場合は、業務自体を見直すか、それとも業務とルールにもっと整合性を持たせることが必要でしょう。
ルール自体は知っているが、ルールを守ることの重要性を理解していない場合もあります。「そんなルールを守っていたら仕事にならない」と思っている人もいるかもしれません。このような場合にはセキュリティ教育を行い、ルールがいかに大切か、ルールを守らないとどんなことが起こるのか、その場合にどんな損害が会社に襲いかかって来るのかなどをよく説明することが大切です。ただし、余りにもルールが厳しすぎて仕事への影響が大きすぎるという場合もあると思います。このような場合は、もう一度ルール自体を見直して、業務とのバランスを取った方がいいという場合もあるでしょう。
| 広告 |
 |
更新履歴
2017/10/7 作成 |
|
 |
|
|
