ポリシー外のアクセスは全部「不正」、アクセス制御対策:セキュリティ強化塾(2/5 ページ)
内部からの情報漏えい対策連載第2弾は「アクセス制御」に注目する。システムやワークフロー上でポリシー外のアクセスを防ぐには?
まず、比較的対策が容易な、機密情報が外部に持ち出されないようにする対策と、業務上の必要があって持ち出された場合でも情報を保護する対策についてポイントを挙げてみよう。
情報を外部に持ち出されないようにする「デバイス制御」
大規模な情報漏えいはUSBメモリなどの外部記憶媒体への情報書き込みが1つの原因になっている。ポータブルHDD、光学ディスク、フラッシュメモリ、PCそのもの、スマートフォンなどが企業内で使われており、もちろん私物の持ち込みも想定しなければならない。
携帯音楽プレーヤーもその1つだ。今後は他の最新ポータブルデバイスがますます増えていくだろう。私物デバイスが企業の機密情報を取り扱う場所にまで持ち込まれることには大きなリスクがある。
これらについては、まず持ち込み制限をルールとして確立する必要がある。私物デバイスの管理は企業側では困難で、たとえ利用者に悪意はなくとも、操作ミスやウイルス感染による情報流出が起きないとも限らない。内部不正発覚後に私物デバイスを提供してもらえるとは限らず、調査も難航しそうだ。
対策
まず、私物デバイスの業務利用の許可をするかしないかが問題だ。許可する場合は利用する業務範囲を絞り、順守事項などのルールを整備して、書面で承諾を得るとよい。またデバイスを企業ネットワークに接続できるようにするときは、セキュリティ対策が十分施されていることを条件にし、許可されたシステムやサービスだけにアクセスできるようにしておく。
管理者の承認を得ずに勝手に接続されるのを防ぐには、デバイス制御機能のある管理ツールや検疫ネットワークなどにより、一定の条件を満たすデバイス以外は接続を拒否するようにするとよいだろう。
また重要情報にアクセスしやすいのは通常運用管理担当者だけが出入りするシステムエリアであり、一般業務を行うエリアとは明確に区画を分け、人とデバイスの出入りを制限する。入退室管理ツールは物理的な出入りの制限に直接役立ち、また入退室ログをとることで不正の抑止や不正行為者の特定にも効果がある。
原則としてシステムエリアでは私物デバイスは全て持ち込みと利用を禁止する。持ち込み禁止ルールは誰でも分かるようにポスターなどで入口などに掲示しておくとよい。
USBメモリなど記録媒体は全面利用禁止にすると安心だが、業務効率面からそうもいかない場合が多い。利用する場合は会社貸与品のみとし、私物は持ち込み禁止とするのがよいだろう。
勝手な持ち込みと利用を防止するには、IT資産管理ツールなどの情報漏えい対策ツールが備えるデバイス制御機能が役立つ。ツールによってはデバイスのホワイトリスト運用が可能になり、会社貸与品以外の利用を拒否できる。
記憶媒体だけでなく、カメラやBluetooth、赤外線などのデバイスについても機種を判別して利用拒否を可能にするツールもある。もちろんスマートフォンなどの新しいデバイスにも対応している。
加えて無線LANアクセスポイント(AP)の利用制限を簡単にするツールも登場している。公衆無線LANや私物Wi-Fiルーター、スマートデバイスのテザリング機能、あるいはいわゆる「野良AP」「偽AP」との接続を禁止し、企業が設置した正当なAPだけに接続させることができる。
さらに、予算がとれる場合はPCをシンクライアント端末に変える選択もある。情報を書き出したくとも外部デバイスへの接続口がない端末ならそもそもできない。データは全てサーバ側にあり、処理もサーバ側で行うのがシンクライアントで、VDIをはじめ幾つかの方式がある。
Copyright © ITmedia, Inc. All Rights Reserved.