企業内からの情報漏洩対策に有効 暗号化&アクセスコントロール(1)(執筆:他力本願堂本舗) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.15(金)

企業内からの情報漏洩対策に有効 暗号化&アクセスコントロール(1)(執筆:他力本願堂本舗)

特集 特集

 個人情報保護法が発効する日が目前に迫り、情報保護対策に躍起になっている方も多いだろう。情報漏洩といえば、外部の何者かがサーバに侵入してデータを持ち去るといったイメージを持つ方もおられると思うが、実際には内部犯行のケースが多い。
 内部犯行の情報漏洩では、現職のエンジニアやオペレータが金銭目的や怨恨を理由にデータを抜き出し、外部に漏洩させるといった形式が多い。また、故意ではないものに、外付けのハードディスクやノートパソコンが盗難にあったり、または置き忘れ等の紛失によってアクセスコントロールを失うことで情報漏洩の可能性を否定できなくなる場合がある。
 実際には(いわゆる)ハッカーによって情報漏洩を引き起こされるケースは意外と少ないのだ。とはいえ、かつて2ちゃんねるなどで話題に上ったが、データディレクトリがアクセスコントロールされていなかったりするケースで情報漏洩を招かないとも限らない。

 さて、情報漏洩の対策だが、最近までは一般的に外部からの脅威への対策が行われてきた。古くは FireWall によるアクセス制限に始まり、アカウント毎のアクセス権によってそもそもデータにアクセスさせないことで、無関係な第三者の目からデータそのものを秘匿する方法がとられてきた。また、盗難などの対策として、ディスクそのものを暗号化するといった手法もよくとられる。
 しかし、これらの方法では防ぎきれないケースがある。それは、正当なアクセス権を持った人物による情報漏洩、つまり冒頭に挙げた内部犯行による情報漏洩への対策は不充分となっているのだ。

 そこで今回、チアルアンドアソシエイツ様よりご提供頂き、「SSS Filer」を試用させて頂いた。SSS Filer はこれまでのアクセス権の設定をさらに柔軟かつ厳密に行うことで、ユーザだけでなくハードウェアまで認証し、あるデータに対して特定のユーザが特定の端末で利用することしかできないようにする、といったことが可能になるソリューションだ。

●情報漏洩の経路と対策

 情報漏洩には先述のように、外部からのアクセスを制限できなかったことによる第三者に直接情報が渡ってしまう経路と、内部ユーザを含めた正規のユーザが、意識して、または盗難などにあって情報漏洩を起こすものがある。
 前者の有名なものは、大手エステサロンの WEB サーバから顧客情報が漏洩したものが、そして後者の有名なものでは地方自治体の住民情報が漏洩した事件が思い浮かぶ。
 どちらも情報漏洩としては典型的なものだ。しかし、統一的にこれらの経路での情報漏洩を防ぐ方法はほとんど採用されていない。FireWall の導入やアクセス権のコントロールで、外部からの不正アクセスを防ぐなどの方策はほとんどの場合で採用されているが、正規ユーザを経由した場合の情報漏洩に対してはほとんど有効な対抗策が実施されていない。強いて挙げれば、盗難対策としての暗号化といったところだろうか。


他力本願堂本舗
杉谷 智宏

※本製品に関するお問い合せは下記のアドレスまで。
scan@ns-research.jp
──
(この記事には続きがあります。続きはScan本誌をご覧ください)
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

    ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

  2. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  3. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

    クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  4. [数字でわかるサイバーセキュリティ] 2018年度政府サイバーセキュリティ予算、大規模予算施策一覧

  5. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  6. [セキュリティホットトピック] まるで海外アングラサイト? 中学生がフリマアプリでウイルス売買し書類送検

  7. [セキュリティホットトピック] 金融機関情報を狙う「DreamBot」「Gozi・Ursnif」、国内でまた活発化

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第11回「五十四歳」

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第10回「面会依頼」

  10. スマホが標的のフィッシング詐欺「スミッシング」とは、現状と対策(アンラボ)

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×