データ管理製品導入の前に理解しておくべきこと情報漏えい防止には総合的な対策が必要

情報漏えいの可能性のある部分を特定する際に考慮すべき重要なポイントと、あらゆるデータの漏えい防止（DLP）プランニングに共通する注意点をそれぞれ列挙する。

[Noah Schiffman，TechTarget]

　コンピュータセキュリティに対する従来のビジネス中心的な考え方は社外からの脅威にフォーカスしたものであり、社内の脆弱性は見過ごされがちだった。実際、Ponemon、Orthus、Vontuなどによる最近の調査では、企業での情報漏えいの大部分は社内での不注意な行動が原因であることが明らかになった。

　企業の情報漏えいは訴訟リスクやイメージダウンにつながる可能性があることから、データの漏えい防止（DLP）技術への需要が高まっている。DLP技術は主として、自動データ管理の必要性に主眼を置いてきた。この総合的セキュリティパラダイムの出現により、企業は社外向けコンテンツコンプライアンス（OCC）ポリシー、社内脅威管理および情報漏えい対策システム（Extrusion Prevention System）を重視した製品を利用したデータガバナンスを早急に実現しようとしている。

　しかし、総合的なデータ管理製品やプラットフォームの導入を検討する前に、情報セキュリティ担当部門は自社の業務の流れを把握し、それが既存IT資産の防護にどのように関連するのかを理解しなければならない。この作業では、情報漏えいの発生源となる可能性があるネットワークインフラの主要側面に狙いを定めて調査を実施する必要がある。情報漏えいの可能性のある部分を特定する際に考慮すべき重要なポイントを以下に示す。

• ITインフラの複雑化に伴い、すべてのデータの所在とその利用者、利用方法を把握するのが困難になる
• データ管理者とストレージ管理者の役割の違いがあいまいになるのに伴い、データのランク付けシステムを作成する責任の所在の明確化が困難になる
• 社内データの重要性の評価を実施する。すべてのデータの内容確認が完了したら、データの秘匿性を分類するためのスキームを導入しなければならない
• データにアクセスできる人は基本的に、そのデータの漏えいに対する責任がある。アクセス制御が非常に甘く設定されているユーザー（上級マネジャーなど）を特定する。こういったユーザーは、データセキュリティに関して適切な訓練を受けていないのに、高いアクセス権限を求めることが多い
• 社外から社内への電子メールはインターネット脅威に対する防護のために検査されるが、情報漏えいの主要発生源である社内から社外への電子メールは見過ごされがちだ。社内の人間の電子メールを通じた機密情報の偶発的な流出は、情報漏えいの最大の原因の1つだ。Webベースの個人メールアカウントの利用や不適切なメッセージ自動転送の設定に伴うリスクは、訴訟、金銭的損失、法令違反など深刻な結果を招く恐れがある
• インスタントメッセージング（IM）、P2P型ファイル共有、ブログ、ソーシャルネットワーキングサービス（SNS）などのインターネットプロトコルやサービスを無許可で利用したり、Webサイトにデータを無許可でアップロード（FTP転送）したりすることは、データセキュリティを脅かす重大な要因であり、厳格なポリシーによってコントロールする必要がある
• 下請け業者や外部のコンサルタントを利用する場合は通常、新たなユーザーアカウントを作成する必要があるが、こういったアカウントは行方不明になりやすいため、正確に把握、管理しなければならない
• USBメモリ、光学メディア、外付けHDDなどのリムーバブルストレージメディアは、データ流出につながる可搬手段にもなる
• ノートPCやPDAなどといったモバイルデバイスは、データを社内環境から監視や管理が一切行われない環境に物理的に移動することができる

情報漏えい防止のための戦略的プランニング

　エンタープライズストレージは、DAS（Direct Attached Storage）やネットワークベースの基本的なファイル共有、シンプルなデータベースストレージといった段階から大きく進化した。今日のアーキテクチャでは、iSCSIやファイバーチャネルを利用したSAN（Storage Area Network）、階層型ストレージモデル、仮想ストレージシステム、ハイエンドのストレージアレイやクラスタ型ストレージといった高度な技術が用いられている。広範なハードウェアとソフトウェア、そしてそれらの無数の組み合わせが存在するため、情報漏えいを防止するための戦略は個々の企業によって異なる。

　しかし、あらゆるDLPプランニングに共通する注意点もある。以下にそうした注意点を列挙する。

• 従業員のすべてのデータ利用と情報所有について定めた基本的な全社的標準および手順を導入する
• 情報漏えいに伴うビジネスリスクに基づき、社内データの重要性の評価・ランク付けを行う
• データ内容の語彙検査を行う効果的な特定アルゴリズムを用いた検知／分類ソフトウェアを使用する
• 重要な業務データの保管状況の検査を頻繁に実施し、適切な防護対策が施されていること、最新のセキュリティプロトコルが使用されていることを確認する
• ロールベースのアクセスコントロール（RBAC）と個々のユーザーのきめ細かな管理を簡素化する効果的なデータセキュリティモデルを採用する
• 企業の電子メールの利用規定に関する従業員教育を実施する。社外向け電子メールに対する社内規定コンプライアンスとポリシー管理を自動化するメッセージング防御プラットフォームを検討する
• ポリシー違反を思いとどまらせるために、コンピュータの使用状況を監視していることを従業員に周知徹底する
• ユーザーのアクセス権限レベルの評価を頻繁に実施し、各ユーザーに適切な設定が割り当てられていることを確認する
• デジタル権利管理（DRM）技術を利用し、センシティブなデータにアクセスコントロールを直接組み込む
• 連携型ID管理により、ビジネスパートナーとやりとりを行う際のデータセキュリティを維持する
• 監査リポートとデータフロー評価リポートを定期的に生成することにより、情報漏えいのリスクを監視し、時間とユーザーリクエストに対応したデータの場所を追跡する

　DLPは重要なコンプライアンス問題であるとともに、企業の機密情報を防御し、顧客情報のプライバシーを保護する上で不可欠の課題だ。今日、データ量が急激に増加しているため、新規および既存のデータを効率的に管理するのが困難になっている。データ拡散の問題に対処するための企業のセキュリティポリシーは、データの可用性、業務の生産性、事業の継続性、データの復元性も維持するものでなければならない。最も重要なことは、自社のDLP戦略がITに関する規則であるというエンドユーザーの誤解を防ぐために、徹底した周知と教育を通じて、DLPプログラムが重要なビジネス戦略の一部であるということを理解させることだ。

本稿筆者のノア・シフマン氏は、改心した元ブラックハットハッカー（悪質なハッカー）で、25年近くにわたってFortune 500企業のシステムに侵入した経験がある。同氏は現在、フリーのITセキュリティコンサルタントとして活躍する。リスク評価、侵入テスト、暗号化、デジタルフォレンジクス、予測分析モデル、セキュリティ指標、企業セキュリティポリシーなどを専門とする。心理学と機械工学の学位を持つほか、南カリフォルニア医科大学で医学博士号も取得した。サウスカロライナ州チャールストン在住。

関連ホワイトペーパー

情報漏洩 | アクセス制御 | コンプライアンス | セキュリティポリシー