情報漏えいを発見・防止する方法Column

情報漏えいの防止はとてつもなく大きな課題に思えるが、ここで紹介するような市販ツールを使えば制御できる。

2007年02月08日 07時00分 公開
[Joel Dubin,TechTarget]

 会社情報の流出は考えただけでゾッとする。セキュリティ担当者はこれまでもずっと、電子メール、IMといったインターネット経由の情報漏えいに対処を強いられてきた。しかしモバイル技術が普及した今、偶発的にしろ悪意にしろ、情報漏えいはこれまで以上に発生しやすくなっている。

データ保護の準備

 動的/静的データが会社からこっそり持ち出されるのを防ぐ市販のツールは多数あるが、一番いいのは検出エンジンやデータブロッカーといった防御/検出の手段を組み合わせたものだ。

 しかし何よりも前に、守りたいデータの種類とリスクの程度を把握しておくことが大切だ。自分の組織のITセキュリティ基準に沿って、会社の全データについて等級を作成し、分類しておく必要がある。データの種類は紛失や漏えいのリスクに応じて低から高までのレベルにランク分けできる。

 高リスクのデータとして以下のような例が挙げられる。

  • 氏名、住所、社会保障番号など個人を特定できる情報が入った顧客や従業員情報
  • 競合企業による顧客横取りに使われる可能性がある顧客リスト
  • 企業秘密および知的財産
  • 社外秘の製品開発・製造計画
  • 財務情報あるいは発表間近の新製品の販促計画

 どのデータを守るべきかを決め、リスクのレベルを等級分けして文書化したら、どのツールが自社のニーズに最適かを調べる作業にかかろう。

データ漏えい防止ツール

 データ漏えい防止ツールは大ざっぱに言えばアプリケーションレベルのファイアウォールのようなものだ。ファイアウォールと同様、外部に出て行くデータについて、ポートとパケットの種類だけでなく中身を調べ、社外に出してもいいものは何かを判断する。データ漏えい防止ツールについて調べれば、この市場の大手はボンツリコネックスベリセプトの3社だということが分かるだろう。

  • Vontu 6.0のスイートは、SSL、IM、Webメールなどあらゆる種類のWebトラフィックを監視できるツールがセットになっている。外部に送信される悪意あるトラフィックを、Exact Data Matching、Indexed Document Matching、Described Content Matchingという3つのアルゴリズムで検出する。Vontu 6.0は特定の従業員グループや場所、コンテンツの種類を対象とするよう設定できる。
  • リコネックスのiGuardプラットフォームは2つの有用なデバイスで構成される。iGuardは、外部に送信されるトラフィックのコンテンツを監視し、悪質な行為を発見できるネットワークアプライアンス。もう1つの製品であるInSight Consoleは、重要なデータ情報を保存して簡単に検出できるようにするデータベース。ボンツと同様、リコネックスのプラットフォームは会社のニーズに応じて設定できる。
  • ベリセプトのVisibility and Controlは、コンテンツ監視用途で広く使われているカスタマイズ可能ツール。この製品は「プロプライエタリ・インテリジェント・コンテンツ制御エンジン」(同社)を利用している。ベリセプトではFTP、SSL、IM、P2PなどWebトラフィック全体を監視するだけでなく、ブログの投稿やチャットルーム、Webサイトなど、会社の重要なデータや企業秘密の流出先となる可能性があるすべての場所を監視する。
  • このほか役に立ちそうな2社としてポートオーソリティ・テクノロジーズGTBテクノロジーズがある。上記の各社の製品と同様、この2社は外部に送信されるIPトラフィックを監視して特定種類の企業データを見つけ出すハードウェアアプライアンスを提供している。

 こうした製品はファイアウォールの内側に置くだけのネットワークアプライアンスであり、会社の既存のセキュリティインフラときっちり統合しておくことが大切だ。例えばボンツの製品は、シスコシステムズ、アイアンポートシステムズ、ブルーコートシステムズの製品と統合できる。リコネックスとベリセプトの製品もブルーコートなどのWebプロキシに対応している。

モバイル機器とデータ漏えい

 モバイル機器はデータ漏えいに関して新たな課題を投げ掛けている。例えばUSBメモリ、Bluetoothデバイス、リムーバブルCDドライブなどはすべて、システム管理者の知らないところでネットワークコントロールを妨げる可能性がある。ストレージ用のハードウェアであるため、これまでに挙げた高度なインターネット/Web監視ツールをかわしてしまう。

 監視ツールの1つ、Safend Protector V3.0は、会社の全デスクトップPCとノートPCにインストールすることができる。Web監視ツールと同様に、Webベースのインタフェースで集中管理でき、特定の種類のデータがUSBやFireWire、ワイヤレスポートに移されるのをチェックする設定が可能。このツールは勝手に変更できないようになっていて、ユーザーの目には見えず、外部ポートに何かが接続されるまでは沈黙している。さらにSafend Protector V3.0は、あらゆるリムーバブルデバイスへのアクセスを完全に遮断したり、容量に応じて特定のデバイスを制限したり、読み取りのみのアクセスを許可する設定にもできる。ポリシーをアクティブディレクトリのグループポリシーオブジェクト(GPO)に統合し、特定ユーザーのデバイスにアクセスできるようにすることも可能。

 一見したところ、データ漏えい防止はとてつもなく大きな課題に思える。しかし幾つかの市販ツールを使えば、オンラインであれWebやストレージデバイス経由であれ、漏えいは制御できるのだ。

本稿筆者のジョエル・デュビン氏は、CISSP(公認情報システムセキュリティプロフェッショナル)資格を持ち、シカゴに本拠を置く独立系コンピュータセキュリティコンサルタント。Webとアプリケーションのセキュリティを専門とする。セキュリティ分野のMicrosoft MVPを受賞している。アクセス管理システムを導入するコツを含む「The Little Black Book of Computer Security」の著者でもある。

Copyright © ITmedia, Inc. All Rights Reserved.

ITmedia マーケティング新着記事

news202.jpg

ネットの口コミを参考に8割超が商品を購入 最も参考にした口コミの掲載先は?
ホットリンクは、口コミ投稿の経験や購買への影響を調査した結果を発表した。

news071.jpg

「生成AIの普及でSEOはオワコン」説は本当か?
生成AIの普及によりSEOが「オワコン」化するという言説を頻繁に耳にするようになりました...

news067.jpg

ボストン コンサルティング平井陽一朗氏が語る 日本企業のイノベーションを阻む「5つの壁」
企業の変革を阻む5つの壁とそれを乗り越える鍵はどこにあるのか。オンラインマーケットプ...