被害総額200億! - 外部メディア制御と詳細なログ機能で、情報漏洩を防止
○約80%! 内部関係者による情報漏洩
実は、情報漏洩事件の約80%が、「内部関係者」による犯行であると言われている。実際、米国では企業の37%(※1)が、内部関係者によるセキュリティ・インシデントを経験しているとの調査結果も報告されている。
内部関係者に対する情報漏洩対策は、企業のリスク管理にとって重要な経営課題である。/派遣先や委託先など、社外のルートからも情報流出のリスクがある現在、必要なのは外部記録媒体の利用を、正しく制御できるソフトウエアである。
エヌ・シー・エル・コミュニケーションが提供する「SecureCore RSS」は、USBメモリや外付けハードディスクなどの外部記憶媒体をはじめとした、各種デバイスの利用を管理し、情報漏洩を未然に防止するデバイス制御ソフトウエアである。
オンライン、オフライン、スタンドアロンなど、クライアント環境に依存することなく利用できるのが特徴だ。2012年の製品リリース以降、累計出荷ライセンス数は15,000を超える。あらかじめ設定したポリシーを基に、外部記録媒体を利用禁止にしたり、読込み/書込みを制限したりできる。ポリシーの反映は、例えば、USBメモリを抜き差しした瞬間に適用されるので、ユーザに特定の作業を強いたり、業務効率を低下させたりすることはない。
※1 出典「2014年9月:IPA(独立行政法人情報処理機構)発表「組織における内部不正防止ガイドライン」改訂版
○スマホもデジカメも制御可能
SecureCore RSSの主な機能は、「デバイスの登録と許可機能」「デバイスコントロール機能」「ログ機能」に大別される。
「デバイスの登録と許可機能」では、業務内容に応じて使用する外部記録媒体を登録する。利用者(ユーザー)がデバイスを申請し、管理者が許可することで、許可されたデバイスのみの利用が可能となり、未登録利用デバイスや外部から持ち込まれたデバイスの利用を制限できる。こうしたデバイス利用者が自発的に利用デバイス申請する仕組みは、社員のセキュリティ意識を向上させる観点からも効果を発揮する。
「デバイスコントロール機能」は、USBメモリなどの外部記憶デバイスを自動で認識し、デバイスへの読込・書込などのアクセス制御を行うものである。例えば、デバイスへの読込・書込をすべて許可する/ファイルの閲覧のみ許可する/デバイスへの読込・書込をすべて禁止するなど、運用ルールに沿った制限を個別に設定することが可能だ。ポリシー設定はサーバ上で行い、クライアントPCにはエージェントをインストールして利用する仕組み。これによりPCグループごと、ユーザグループごと、または、PC/ユーザごとに設定済みのポリシーに従い、デバイスを利用できる。
制御可能なデバイスは、USBメモリや外付けハードディスクといったストレージはもちろん、デジタルカメラ/スマートフォン/プリンタなどまで幅広い。さらにIrDA(赤外線)、モデム、FireWire、Bluetoothなどポートの制御も可能だ。エヌ・シー・エル・コミュニケーションでセキュリティ事業部営業課長代理を務める佐藤隆幸氏は、「大手教育関連企業の顧客情報漏洩事件では、データの持ち出しにスマートフォンが利用されたと聞いている。しかし、私物のUSBメモリやオーディオプレーヤー、スマートフォンを接続禁止にすれば、そもそも持ち出すことはできなかっただろう」と指摘する。
外部記録媒体/データは自動暗号型もしくは自己復号暗号化ファイルとして書き込まれる。これにより、例えば社外PCでデータを読み込む場合でも、パスワードで暗号化を解除できる。最近は、リモート環境で作業をしたり、取引先とコラボレーションしながらプロジェクトを進めたりするケースは多い。そのような場合でも、一定の制限を設けることで、データを安全にやり取りすることが可能になるのだ。
○セキュリティが厳しい国家機関での導入実績
SecureCore RSSで特筆すべきは、ログ機能の充実である。詳細な管理者操作ログ、クライアントのデバイス利用履歴などがすべて記録される。
管理者やクライアント端末利用者の外部デバイス抜き差し記録はもちろん、ファイル操作記録やログオン/ログオフ、印刷記録、申請・承認状況などがすべて記録される。また、一部オプションでHDDやファイルサーバ上での操作ログも収集することが可能だ。
エヌ・シー・エル・コミュニケーションのセキュリティ事業部技術担当部長を務める佐村恭敏氏は「万一の際の追跡調査では、誰が、どのデバイスで、どのファイルにアクセスし、どんな外部デバイスでデータを持ち出したかといった記録を確認する必要がある。SecureCore RSS導入していれば、そうしたログはすべて記録されている」と説明する。
こうした詳細なログを取得できるのには理由がある。SecureCore RSSは、内閣官房情報セキュリティセンターが定めた「府省庁対策基準策定のためのガイドライン」を基に開発されており、主に導入しているのは、情報セキュリティ管理がもっとも厳しい国家機関なのだ。佐藤氏は、「民間企業においては国家機関と同水準のセキュリティ対策を講じなければならないことはないだろう。ただし、業種/業態によって堅牢にすべきセキュリティポイントは異なる。様々な運用形態とリスク要因を考えれば、決してセキュリティ対策をやり過ぎるということはない」と強調する。
もう1つ、SecureCore RSS導入には大きなメリットがある。
それは、自社のセキュリティの運用を棚卸しできることだ。同製品はオンプレミスでの運用となるため、導入時のサーバの構築やポリシー設定などもエヌ・シー・エル・コミュニケーションのエンジニアがサポートする。自社の運用に最適なポリシー設定が行えるというわけだ。「セキュリティ製品は、運用設計が要となる。われわれはセキュリティ要件の高い機関への導入で培ったノウハウとナレッジがある。その経験を基に、お客様の様々なセキュリティ課題に対し、解決に向けたお手伝いをさせていただいている。」(佐藤氏)。
セキュリティ対策は費用対効果が見えにくいと言われていた。しかし、大手教育関連企業の顧客情報漏洩事件のように、一度インシデントが発生すれば、その金銭的損出は計り知れない。
今後、企業が保有するデータ量は増加の一途を辿る。情報を、そして顧客と社員を守るという観点からも、SecureCore RSSの利便性についてセキュリティ担当者はお分かりになるのではないだろうか。
提供:
