社外へのデータの持ち出しを防ぐ10の方法

文:Debra Littlejohn Shinder 翻訳校正:石橋啓一郎
2010-04-08 07:00:00
  • このエントリーをはてなブックマークに追加

 ネットワークを落としてしまうハッカーの攻撃が注目を集めており、企業はそういった危険に対しては備えをしている。しかし、もしあなたの組織がその種のセキュリティにだけ力を入れているとすれば、それは爆弾魔がビルを爆破するのを防ぐのに全力を挙げておきながら、窃盗犯が裏口から入ってきて貴重品を全部盗んでいくことについてはまったく心配しないようなものだ。

 残念ながら、DoS攻撃やウイルス、ワーム、その他のよく聞かれる攻撃を防ぐためのセキュリティ対策は、企業スパイやその他の目的で行われる企業データの盗難といった、より陰湿な問題には役に立たないこともある。しかし、企業秘密を競合他社に知られてしまったり、会社の秘密情報がメディアに流れてしまうことは、場合によってはネットワークが落ちるよりもはるかに大きな損失を招いてしまう。

 この記事では、データの漏洩を防ぐために注意すべきことについて説明していく。

1.最小特権の原則を適用し、ポリシーを明文化する

 ネットワークアクセスのポリシーには、2つの対立する考え方がある。第1の考え方は、「すべてオープンにする」というポリシーで、これは明示的にアクセスを制限されていない限り、全員がすべてのデータにアクセスできると仮定している。第2の考え方は「最小特権」ポリシーで、明示的にアクセスが許されていない限り、ユーザーはすべてのデータにアクセスできないという仮定で運用するというものだ。後者は、政府の諜報機関が使っている「need to knowの原則」に似ている。この原則は、ユーザーは特定のファイルにアクセスする必要性を示すことができない限り、そのファイルにはアクセスできないというものだ。

 あなたは、従業員が許可を得ずに重要な企業情報をコピーしたり、自宅に持って帰ったり、社内ネットワークの外部にメールしたりするべきではないということは、明白だと考えているかも知れない。ところが、そのようなポリシーを明文化し、それを認めたと従業員に署名させない限り、そのポリシーに違反した際に従業員に重い罰則を科すことは難しい場合がある。明文化されていないルールは、実施が難しい。

 ポリシーは具体的で、禁止事項の例が列挙されているべきだ。企業の文書をネットワークの外部にいる誰かに(あるいは自分の自宅のアカウントに対してであっても)メールに添付して送ることが、文書をUSBドライブにコピーし、ドアの外へ物理的に持ち出すことと同様にポリシーに対する違反であることは、具体的に列挙しない限り理解されないかも知れない。

 ただし、ポリシーの文言では、禁止の対象は挙げられている例だけに限られないことを明記しておくべきだ。

2.アクセス許可を限定的に設定し、アクセスを監査する

 データを保護するには、ポリシーだけに頼っているわけにはいかない。従業員にすべきでないことを伝えるだけでは、一部の従業員がそれをするのを防ぐことはできない。定めたポリシーを技術的に強制することで、従業員がポリシーに従うかどうかという選択肢を奪うことができる。データを保護するための最初のステップは、データファイルやフォルダに適切なアクセス許可を設定することだ。これは当然、共有されたリソースにNTFSのアクセス許可を適用できるよう、Windowsネットワーク上のデータは必ずNTFSでフォーマットされたドライブに保存するということを意味している。NTFSのアクセス許可は、共有のアクセス許可よりも粒度が細かく、ローカルマシンのデータと同じようにネットワーク上のデータへのアクセスに対しても適用される。

 最小特権の原則を守るには、従業員に対して業務をこなすために必要最低限のアクセス許可のみを与えるようにすべきだ。例えば、ユーザーがファイルを修正してしまうのを防ぐため、読み取りのみのアクセス許可を与えるといったことだ。詳細については、「10 things you should know about working with NTFS permissions」(NTFSのアクセス許可の設定作業をするとき知っているべき10のこと)という記事を読んでほしい。

 また、機密データを含むファイルやフォルダに対する監査を行うよう設定しておき、誰がいつアクセスしたか分かるようにしておくこともできる。Windows Serverに付属しているオブジェクトアクセスの監査機能について知るには、このページを参照するといいだろう。

 また、複数のストレージサイトにまたがるファイルアクセスを監査することのできるソリューションが、多くのサードパーティから提供されている。例えば、次のようなものがある。

  • コメント(1件)
#1 ゴンゴー   2012-12-17 11:57:27
データの持ち出しを解決するには?
  • 新着記事
  • 特集
  • ブログ
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]