情報漏えいに備えるための点検や監査ジョブ機能
毎日のように新聞紙面を賑わす、企業や官公庁での情報漏えい。
外部からのサイバー攻撃への対処と、内部からの情報流出防止を図るためには、ITシステムにおけるきめ細かな設定対応と、いざという時にすばやく問題を把握できる抑止力が重要です。
ITインフラ運用自動化パッケージ・ソリューションのPOLESTAR Automationは、外部と内部の両側からの情報漏えいリスクの低減を、自動化により支援します。
近年、企業における情報セキュリティ対策への関心が高まり、その対策が進んできているものの、個人情報や機密文書などの情報が流出する事件は後を絶ちません。
情報漏えいは、一般的に「サイバー攻撃を受ける」、「従業員が情報を持ち出す」、そして「実際に盗難が行われる」などの悪意によって始まり、それがネットに公開されたり、個別に売買されたりすることで公になります。
外部からの攻撃と内部からの情報漏えいへの対策
外部からのサイバー攻撃に対するセキュリティ対策としての脆弱性対策は、OSのアップデートや修正パッチの適用が多く、POLESTAR Automationで容易に自動化できる部分です。
POLESTAR Automationでは、OSやアプリケーションにおいて、脆弱性対策アップデートが適用されているかどうかのチェックを行い、適用されていなければアップデートを適用するとともに、必要であれば設定の変更も自動で行います。
一方で、情報漏えいの発生する可能性が最も高いと言われているのが、社内にいる従業員からの情報流出です。
もちろん、権限を細かく設定し、IDとパスワードで情報へのアクセスを制御することは最低限必要ですが、情報の入口だけでなく出口にも対策を講じることで、抑止力が働くとともに、問題をすばやく把握することができます。
まず、入口に関し、POLESTAR Automationでは、パスワードの長さや複雑性のチェックを行い、各サーバーが適切なログイン管理を行っているかどうかの点検を実施できるテンプレートを持っています。また、違反があった場合には、自動的に適切な設定に変更することも可能です。
次に、出口となるプリンタやリムーバブル記憶装置からの情報流出を防ぐには、どうしたらよいでしょうか?
プリンタ出力ログを収集する
プリンタからの出力を完全に制限することもできますが、プリンタ出力を制限すると利用者へのサービスレベルが極端に下がるため、不満につながることも考えられます。そこで、出力できるプリンタを制限するとともに、出力したら誰が、いつ、どんなファイルを印刷したかのログを自動的に必ず残すように設定するテンプレートがPOLESTAR Automationには用意されています(図1)。また、出力の履歴が記録されたログの収集も自動で行い、結果をレポートとして送ることもできます。
Windows環境での例ですが、A社では、全てのプリンタ出力のログを残し、誰が、いつ、どんなファイルを印刷したかをトレースできるようにし、情報漏えいの抑止力として利用しています。
具体的には、プリンタ出力を行った場合のログを残すために、イベントログを出力する設定を自動化しています。また、ファイル名を出力するためにはレジストリの変更が必要なため、これもPOLESTAR Automationで設定を行っています。
そして、プリンタログを収集するジョブテンプレートと、その結果をもとに何らかの印刷を行ったかどうかを日々点検し、順守(印刷を行わなかった)と違反(印刷を行った)で報告する点検ジョブテンプレート(図2)をセットで利用し、抑止と問題があった場合に早期発見できるしくみを実現しています。
印刷があった場合には、図3のようにログを確認することができます。
図1 プリントログ設定済点検
図2 印刷状況点検
図3 プリントログ収集画面
USBメモリアクセスログを収集する
リムーバブル記憶装置としては、CD/DVDやUSBメモリ、USB-HDDなどがあります。特にUSBメモリ、USB-HDDは手軽に利用できるため、社内情報を抜き出すための温床になりやすいものです。そこで、一般にはリムーバブル記憶装置のアクセスを制御し、利用できなくしてしまう企業が多いようです。しかしながら、業務上やむなくリムーバブル記憶装置を利用しなければならない場合や、アクセスが制御されているにもかかわらず、何らかの形で情報を抜き取ろうと、USBメモリでアクセスする可能性があります。そこで、こちらでも抑止力として、USBメモリやUSB-HDDのアクセスログを収集するイベントログ設定と、その点検を行うジョブテンプレートを用意しています。
USBメモリのアクセスがあった場合、図4のようにサーバー名、アクセス日時とUSBメモリの機種名が表示されるようになっています。 なお、リムーバブル記憶装置がポリシーでアクセス禁止になっているかどうかの点検結果も示すことができ、図5のように表示されます。
図4 USBメモリのアクセスログ
図5 サーバーごとのリムーバブル記憶装置アクセス禁止状況の点検
最後に
今回の例は、ITシステムの脆弱性アップデートの適用だけでなく、情報の出口としてのプリンタやUSBメモリでの出力やアクセスの制御、ログ出力の収集をご説明しました。 POLESTAR Automationでは、Windowsにおいてイベントログの設定で収集できる情報やレジストリの変更を通じたWindows機能の制御を、複数のサーバーに対して自動的に適用することができます。
ご紹介したジョブはこちらのページで詳細をご案内しています。
【点検ジョブ】…毎日30分程度の点検でも、年間では100時間に相当します。正常に稼働しているか?正しい設定になっているか?許容値を超えていないか?エラーが出ていないか?等のチェック作業は、自動化することで効率化ができる領域です。
【監査ジョブ】…マスターとなる機器またはスナップショットとの比較を行い、サーバーやネットワーク機器の構成や設定、ハードウェア状況における差分を表示します。監査結果を通じて、不正や障害の予防や、障害発生時には原因を把握するための情報として役立てることもできます。
このようにして、POLESTAR Automationで情報漏えいを防止するための設定やしくみを、きめ細かにそして自動的に実行することで、情報漏えいに対する抑止力を関係者に認知してもらい、万一問題が生じた場合には、初動対応がすばやく行えるようにすることが必要です。是非、POLESTAR Automationを活用して、情報漏えい対策の充実と効率化を図ってください。