idnetworks

データ流出防止
アクセス管理の必要性


不適切な人があるデータを入手した場合、データの悪用をする可能性があります。

データが流出する原因は不注意なもの、意図的なものがありますがそれぞれに対しての対策があります。

特に重要なのが組織内にどのようなリソースがあり、誰がそのリソースを利用するかの定義が必要となります。

また日々の作業で作成されるデータについても整理が必要となります。

アクセスコントロール技術の整理

アクセスを制限するためのテクノロジーはいくつかありますが一種類だけ導入しても効果は限定的になります。

ファイアウォール

ネットワークの間に配置し必要なパケットだけファイアーウォール間を通します。

ネットワーク間ごとに利用するプロトコルを設定するといった方法が一番簡単な設定です。

簡単な設定であれば、ルーター、L3スイッチなどでも設定できます。

また、おもにインターネットなど外部ネットワークからの攻撃を検知/防御するためのIDSなどの製品の利用も一般的です。

認証

OSにログオンするときや各システムにログオンするときに認証することで利用を制限することが可能です。

大体のシステムではID/ パスワード方式が使われていますが、カード認証などのデバイス認証がつかわれることも珍しくはありません。

また、セキュリティが必要なシステムによってはID/パスワードとデバイス認証の両方を使用する二要素認証もあります。

たとえばインターネットバンキングの認証で利用されることがあります。

暗号化

データーの暗号化については大きく分けて通信経路上での暗号化とファイルそのものの暗号化があります。

ネットワーク系路上の暗号化ではssl/ httpsが広くすられていますが、ネットワーク上で第三者がパケットキャプチャー(スニッフィング)などをした場合、暗号化により情報漏えいを防ぐといったものです。ただし、httpsではサーバー側でデーターが復号されるためサーバーが攻撃された場合情報盗まれる可能性があります。そのため海外でのインターネットバンキングなどではssl/httpsよりも強力なe2eeによるクライアントから情報を格納するデータベースまでの完全な経路上の暗号化を実現した技術もあります。

データーファイルそのものを暗号化することにより、たとえ盗まれても第三者が復号できない限り悪用できません。しかしながら一度復号してしまうといつでも盗まれる可能性が出てくるところから、DRM(Digital Rights Management)のような技術により保護することも考えられています。

リムーバブルメディア/メール/ログ監視

情報漏えいで気をつけるべきは外部の攻撃者より組織内部から行われることも決して少なくないところです。

組織内部からの情報漏えいは重要なデーターがどこにあるかも知っている人間が情報を外部に漏らしてしまうことが問題です。

USBメモリー/ DVD-Rの利用禁止により簡単に情報を持ち出せないようにしています。

またメールフィルターによりメールを常に監視し問題のあるメールは管理者などに報告したり場合よっては送信をとめるといったこともしています。

またエンドユーザーの操作ログを取得し問題のある行動をとっているかどうか確認できるようにしています。

旧メニュー