内部不正による情報漏えいをどう防ぐ？：セキュリティ強化塾（3/4 ページ）

[キーマンズネット]

アカウント管理の重要性を知る

　次に、論理的な接続について考えよう。ここでいう論理的な接続は「アカウント管理」につながる。「VPN利用によるリモートアクセス」なども、アカウント管理を厳密に行わなければ不正の温床になり得る。

　アカウント管理において重要なのは、従業員が異動／退職した場合に人事管理の基幹アプリとセキュリティ対策ツールの連係がスムーズに行われることだ。例えば、退職者のアカウントが残り続けていると、それを悪用される可能性が高まる。

　そしてもう1つ重要なのは「特権管理」だ。OSやデータベースの特権ユーザーは「何でもできてしまう」ことが利点だが、それは同時に欠点にもなる。機器のメンテナンスなどではどうしても特権ユーザーの権限が必要になるが、残念ながら過去の事故例を見る限り、そのメンテナンスを行うエンジニアが不正を行う可能性は無視できない時代になったといえる。

　そこで必要とされるのが「特権管理ツール」だ。業務フローとして上長の承認を得る仕組みを実現しつつ、特定の時間のみ有効なワンタイムパスワードを発行し、管理者権限を特定の従業員に渡すことが可能になる。もちろん、その作業内容は厳密なログとして取得し、不要なコマンド実行を抑制することもできる。むしろ特権管理ツールを導入することで、マルウェアによる侵入など何らかの不正が発覚した場合でも、メンテナンス作業者を「悪者にしない」仕組みが構築できる。

「不正な接続」を防ぐ

　さらに、ネットワークを「物理的に守る」ことも考えよう。信頼するデバイスのみがネットワークへの接続を許可する仕組みがあることが重要だ。

　有線LANを利用している場合、いわゆる「島ハブ」とよばれるデスクサイドのスイッチ機器に余分なポートが空いていないだろうか。そこにケーブルを差し込みだけで社内ネットワークにつながってしまうようであれば、社内の情報は筒抜けになっていると言われかねない。

　最低でもこのスイッチの空きポートは物理的にふさいでおきたい。理想的には社内のデバイスを全て管理し、認証済みのものだけネットワークに接続できるようなデバイス管理を行うべきだ。これは無線LAN環境でも同じだ。最近の無線LANコントローラーはデバイス管理機能を持つものが増えている。

　さらに「デバイスコントロール」も重要だ。セキュリティポリシーなどで一律に「USBメモリの使用を禁ずる」とする企業は多い。また、そのための対策製品を導入することもあるだろう。しかし、ちょっとしたファイルの受け渡しなどにおけるUSBメモリの便利さは、IT部門の目が届かないところでの「ついうっかり」を招きがちだ。では、どうすべきか。業務においてUSBメモリを利用せざるを得ないケースがあるのであれば、「一律禁止」という原理主義を貫くのではなく、あえて「会社が認めた特定のUSBメモリを許可する」といったデバイスコントロールを行うほうが現実的だろう。