 |
HOME>コラム一覧>セコムトラストシステムズの考える情報セキュリティ>情報漏洩対策サイト>第三回 データアクセス制御で限定する
内部からの情報漏洩が起きる大きな原因のひとつに、アクセス制御の不備が挙げられます。例えば、マスターのデータベースは厳格に管理されているものの、加工用にスレーブされたデータウェアハウスなどのデータについては、ほぼデータの内容が同じにもかかわらず誰でもアクセスできる状態になっていたりします。また、メールの送受信ルールが特に決められていないために、そうしたデータが自由に送受信できてしまうといった現状もあります。
個人情報保護法では「個人情報の取り扱いに関する苦情の適切かつ迅速な処理・規定に違反すると6カ月以下の懲役または30万円以下の罰金など」という罰則規定はありますが、顧客情報を持ち出した個人を処罰できるような規程にはなっていません。つまり、自社でしっかりとルールを設定して対策していかなければならないのです。そこで今回は、サイバー面での情報漏洩対策では必須となる、データアクセス制御について考えていきたいと思います。
|
 |
基本は厳格な認証による「識別と制限」 |
| |
サイバー面での対策も、基本的には物理セキュリティ対策と同じです。使う人、アクセスする人が正しい権限者かどうかを識別し、それに合わせて機能や利用範囲を制限するというのが第一歩となります。こうした対策は、ホストコンピュータなど機密性の高いシステムやアプリケーションなどでは運用/管理されていますが、それ以外についてはあまり厳格に運用/管理されているとはいえません。このため以下のように職や所属部門、雇用形態などに合わせたアクセスコントロール、メールの利用制限を行うことが必要です。
 |
正社員の課長以上の役職者はAのデータベースへアクセスを許可する |
|
管理部門のスタッフは正社員、派遣社員問わずBのデータにアクセスを許可する
ただし、データを変更できるのは正社員スタッフのみとする |
|
「社外秘」のキーワードを含むメールは外部への送信を許可しない |
|
| 拡張子「.exe」の添付ファイルがある場合はメールを受信しない |
・・・など |
|
|
|
|
|
ID/パスワードは”運用”されていますか? |
| |
個人を特定する認証方法はいくつかありますが、ほとんどの企業で採用されているのがID/パスワードによる認証です。しかし、いったいどれだけの企業がしっかり”運用”できているでしょうか。特にパスワードは設定してそれで終わりではなく、定期的に新しいものに更新していく必要があります。しかし残念ながら、しっかりと運用できている企業はあまり多くありません。
例えば、大手通信企業の情報漏洩事件の場合、アクセスに必要なアカウントは限定して発行されていたものの、そのうちのいくつかは複数ユーザーが共有するグループアカウントになっていたそうで、そのパスワードの変更を行っていなかったため、長期間元派遣社員が外部からアクセスできる状態が続いていたそうです。そのほかの漏洩事件を見てみても、正規のIDやパスワードを使用して情報を取得しているケースが多く見受けられます。
| ID/パスワードがこんな状態で運用されていませんか? |
|
ID/パスワードが覚えきれないため、付箋に書いて貼ってある |
|
1111や社員番号など推測されやすいものに設定されている |
|
| 代理対応などのために上司のアカウントを部下が知っている |
・・・など |
|
|
|
|
|
ログの取得によるけん制と抑止 |
| |
こうした状況を改善し、情報漏洩を防止するためにはどのような対策を行えばよいのでしょうか。そのポイントは、前回の物理セキュリティの回でもご説明しましたが、ログの取得/管理が効果的です。誰が何時にどのデータにアクセスした、誰がどんなデータをメールで送信した、というようなログを取得すれば、誰が何を漏洩させたという証明になります。また、そういったログ情報を取得していることをオープンにすることで、「何かあったらバレる」といったような心理面での抑止効果にもつながります。 |
|
| では、具体的にはどのような対策、ソリューションを導入/実施すればよいのでしょうか。次のページでは、データアクセス制御に適した具体的な対策、そしてセコムトラストシステムズが提供するサービスなどについて解説していきたいと思います。 |
 次へ>> |
|
|
|
|
