セキュリティを楽しく学ぶ、触れる。セキュリティごった煮ブログ

ネットエージェント
セキュリティごった煮ブログ

 コース:元祖こってり

「元祖こってり」記事はネットエージェント旧ブログ[netagent-blog.jp]に掲載されていた記事であり、現在ネットエージェントに在籍していないライターの記事も含みます。

情報漏洩を発見し、証拠をつかむネット版防犯カメラ

杉浦隆幸

大きな情報漏洩事件があったので、多くのシステム担当者の方々が同じような事件が起こらないような対策を模索していると思う。今回は情報漏洩対策の概要を紹介しよう。


情報漏洩対策を本格的に行うには、以下の3段階それぞれが必要である。

1. 情報が漏れないようにするクライアント用の対策ソフト
2. 情報が漏れたときに発見し記録できるシステム
3. 情報漏洩対策の専門家によるコンサルティングや検査

真に情報漏洩対策を行うには、これら3段階全てを揃えて行う必要があるが、まず最初に必要なのは当然ながらクライアント上からの漏洩を防止するための1.の対策ソフトである。しかし、これらのソフトにはソフトの種類によってそれぞれ得意な点と不得意な点があり、それらの特性を理解して利用しなければならない。漏洩を引き起こそうとしている者がその不得意な点を熟知している場合や、対策ソフトの想定外の運用が行われている場合には、漏洩を防ぎきることができないこともあり得る。

例えば、「USBメモリの使用を制限します」と謳っている情報漏洩対策ソフトの一部では、最近のスマートフォンやデジタルカメラ等のUSBメモリとは異なった方式でファイルをやり取るするデバイスについては、制限の対象外となっているものもある。

none_usbmemory
Fig.1 USBメモリの使用を制限するソフトウェアで制限の対象外となるデバイスの例

そのため、情報漏洩対策ソフトに頼りきるのではなく、データの流れを監視する仕組みを用意することで、情報漏洩を発生時点で検知し万が一漏洩が発生した場合でもその証拠を残すためのシステムというものが重要となってくる。監視における証拠の残し方としては、アプリケーション自身のログやハードディスク上に残る様々なフォレンジック用途の痕跡、通信の記録といったディジタル面だけでなく、入退室管理や防犯カメラなど従来からのアナログな手法と組み合わせて死角の発生しにくいあるいは回避するためにはコストの高くなる仕組みがふさわしい。

また、万が一何か問題が発生した場合の原因追究に、アプリケーションやOSのログといった一般的な痕跡だけに頼ろうとすると、必要な情報が十分に記録されていなかったり、あるいは必要以上に大量のログに重要な証拠が埋もれてしまって多くの時間や能力を消耗するといったことも起こり得る。
そのため、監視システムとしては単に精細にログを記録するだけではなく、ログを調査する個々人の能力に頼らずに、誰でも容易に発生した事象を短時間で解析できる機能が要求されている。
さらに、漏洩のようにひとたび発生してしまうと事後では取り返しがつかず、発生から発見、その対策までの期間を最小に抑える必要のある問題に対応するためには、監視によって日々の通信を確認し、早い段階で異常を検出できなければならない。とはいえ、すべての通信を単純にチェックすることは現実的には不可能であるため、監視システムには効率的に重要な通信だけを抽出して確認できる機能も必要とされている。

そのような社会的要請のなかで、例えば弊社のPacketBlackHoleでは、これまでに多くの実績を積み重ね、管理者が日常的に使いやすい監視システムを実現している。

pbh_link
Fig.2 通信記録とそれから情報漏洩を発見できる製品の代表PacketBlackHole

例えば、これまでの様々な漏洩事件に対する対策への知見を踏まえ、過去の事件の手法や専門家による経験を学習させたパターンを内部に持っており、個人情報や社内機密情報の外部への送信といった典型的な通信パターンだけでなく、過去の同種の事件や犯人の行動パターンなどをもとに危険性のある通信に対して早期に警告を発することが可能となっている。

found_kojinjouhou
Fig.3 過去の情報漏洩事件のパターンを元に、個人情報の外部送信を検知したイベント

また、効率的な確認のために重要な通信だけを自動的に抽出する機能も備えている。

kojin_risk_calender
Fig.4 個人の高リスク行動カレンダー

監視していて万が一情報漏洩を発見した場合には、すぐにアクションをとる必要がある。誰に連絡するか、自宅に持ち帰った可能性がある場合はどうするのか。証拠のパソコンを抑えるための手順、自宅のパソコンや私物の記憶媒体を抑えるための同意書など、あらかじめ準備を整えておく必要がある。

■ 持ち込み管理と検査

実際の運用においては、情報漏洩を発見した際には速やかにアクションを取る必要がある。どのような連絡体制となっているのか、誰が指揮を執るのか、自宅に持ち帰った場合はどうするのか、社外第三者の手に渡っている場合にはどのように対応するのか。証拠となるPCやデバイスをどのように保全するのかの手順、自宅のPCや私物の記録媒体であればそれらを抑えるための同意書など、あらかじめ具体的な漏洩のシナリオを立て、それにそった準備を整えておく必要がある。

情報漏洩対策の専門家であれば、情報漏洩に対する様々な漏洩の手法と対策を合わせて持っており、各システムの長所だけでなく短所についても理解している。これはもちろん、常に「対策の抜け道」を考えておかなければそれを上回る対策を行うことができないからである。
とはいえ、「どのような場合であっても情報漏洩を完全に防ぐ」ということはコストや運用の手間を考えると現実的には不可能に近く、どこかで妥協点を見出すことが必要である。情報漏洩対策とは正解のない道であり、唯一言えることは「結果として漏洩しない」ということが最重要であるという点であろう。我々は情報漏洩対策の専門家として、漏洩におけるリスク、対策の手法やそこにかけるべきコスト、万が一漏洩が発生したときの体制など、様々な面からみなさんのお手伝いができればと考えている。

メルマガ読者募集 採用情報 2020年卒向けインターンシップ

月別