内部情報漏えいと不正アクセス対策の 実践セミナー 〜故意／過失による情報流出を防止し、 安心して仕事ができるIT環境を作る〜

　7月17日（木）、東京・渋谷マークシティのルネッサンスセンターにおいて、「事例で見る　内部情報漏えいと不正アクセス対策の実践」セミナーが開催された（主催：コンピュータ・アソシエイツ、アットマーク・アイティ）。いま、企業は「故意／過失による内部情報の流出にどう対応すべきか」という大きな課題を抱えている。本セミナーではこうした情報漏えい事故を防ぐため、国内外の事例を交えながら企業が取るべき不正アクセス防止策と最新のセキュリティソリューションを紹介した。

当日は多くのセキュリティ担当者／技術者が集まり、会場は満員となった

　

■

当日の資料はこちらよりダウンロードできます

■

セッション概要

コンテンツ・セキュリティの最新動向

■内部セキュリティという新たな概念

　「内部セキュリティ」は、まだ言葉として確立しておらず、ベンダによって多様に使われている。平たく言うと「ファイアウォール内部にある脅威への対策」となるだろう。悪意のある第三者が外部から社内システムに侵入し、ウイルスをばらまいたり、電子メールの盗み読みやWebサイトの改ざんを行うといった脅威ではない。主に社員による情報アクセスで、機密情報が漏れる危険性を回避するためのセキュリティ運用手段なのだ。

　この内部セキュリティで特に問題になるのが、サーバへの不正アクセスと、それによる情報流出だ。見積もり書や顧客一覧など、特定部門だけで秘匿しなければならない機密書類が電子化されている場合、これらの電子文書に社内の人間が自由にアクセスできれば、社外に流出する危険性がつきまとう。特にUNIX環境では、root権限を持つユーザーであればサーバ内に保存されたあらゆるデータにアクセスできるため、危険性は否応なく高まる。

　また見逃されがちだが、ネットワークの私的使用も脅威の一部と見なされる。職務に関係のないWebサイトに仕事中にアクセスしていれば、職務怠慢となる。私的なメール利用もそう言えるし、さらにそのメールで大量にデータ転送した場合、そこで使われたネットワークの帯域幅は、企業にとって損失だ。

■注目される内部セキュリティ

　以上の事柄から、近年内部セキュリティに対する注目度が増してきた。個人情報保護法の成立などに後押しされる形で、顧客のプライバシー意識は向上の一途。現在は、企業内でも部署や個人にとどめておくべき顧客のプライバシー情報をどのようにして管理するかも求められている。

　また、WindowsのMy Documentフォルダに格納されたファイルを電子メールに添付し、あちこちにばらまくというウイルスも登場した。こうしたウイルスに感染してしまえば、たとえ故意ではなくても、社外・部外秘の情報を外部に撒き散らしてしまうことになる。

　ブロードバンド化とワイヤレス化の進んだ現在、社内情報をダウンロードしたノートPCを持ち帰って自宅で作業したり、携帯電話のインターネット接続機能を使って社内システムにアクセスすることが自然に行われるようになった。いわゆる「データの遍在性」が高まったがために、情報が常に脅威にさらされるようになったのだ。そこでいま、企業は外部からの脅威に加え、内部セキュリティへの関心を強めている。

■内部セキュリティに関する技術

　万全な内部セキュリティを可能にするため、いくつかの技術は存在している。ただ、一気に実装することは難しい。その前提となるのは、セキュリティポリシーを明確に定めることだ。セキュリティポリシーを整備することで、組織のセキュリティ体制が強化されるという認識がすでに生まれつつある。今後、ポリシーという大きな枠を決め、それに基づいたシステム運用プロセスを構築することが必須となるはずだ。

　運用プロセスでは、あらゆる企業システムにアクセスできる内部利用者の情報を包括的に管理する「アイデンティティ管理」がまず思い浮かぶだろう。これをうまく使えば、シングルサインオンが実現するなど、ユーザーにとって利便性を高める仕組みも同時に実装できる。また、ネットワークの私的利用対策としては、URLフィルタリング製品や帯域管理製品を利用すればよい。

　そして、内部セキュリティ対策の柱となる技術が、ポリシーベースのアクセス管理だ。この技術は、セキュリティポリシーに基づいて、企業内にある複数のOS、アプリケーションのセキュリティを統合管理するものであり、ポリシーやアイデンティティ管理と密に連携する。このため、当然ながら、OS以上にきめ細かなアクセス管理が求められる。この分野には複数のベンダが製品を提供しているが、1つのベンダの製品で統一した方が結局安くつき、運用もしやすい。ここにどんな製品を使うかが、理想的な内部セキュリティ対策を実行できるかどうかのカギになるだろう。

国内外の事例から見る最適な内部セキュリティ対策

■内部情報漏えいの近況

　米国では、「情報漏えいの83％は内部犯行」というCSI/FBIの調査がある。国内でも、2003年7月に入ってから内部情報漏えいに関するビッグニュースが報じられた。これを含めた例を紹介することで、私の講演を始めたい。

　7月4日、りそな銀行の久米田支店で375人分の顧客データが流出した事件があった。これは、同支店と取り引きのある顧客375人分の氏名、住所、取引内容などのデータが流出したケースだ。当初から内部犯行の疑いが強いとされていて、結果、同行の行員が逮捕された。後日、顧客の「人格」をランク付けする項目も漏れていたことが週刊文春に報じられ、「そんなデータまで管理していたのか……」と企業イメージをさらに悪化させることになった。

　その少し前の6月27日には、ローソンのポイントカード会員56万人の個人情報が社外流出したことが明るみに出た。これでローソンはカード会員115万人全員に謝罪の手紙と500円分の商品券を送った。莫大な損失だ。ただ、対策には疑問符がつく。サーバルームに監視カメラを設置することが盛り込まれているのだが、果たしてこのような物理的な対策で効果が得られるのだろうか。

■内部情報漏えいを防ぐには

　外部セキュリティは、匿名かつ不特定多数のユーザーに対するセキュリティだ。一方、内部セキュリティは、本人確認を済ませたユーザーに対するセキュリティとなる。このため、3A（トリプルA）と呼ばれる運用が求められることになる。ユーザーが誰なのか特定（Authentication）し、ユーザーに適切なアクセス権を設定（Authorization）。さらに、ルール設定の管理や運用を最適化する（Administration）のだ。

　この3Aを万全なものにする必要があるわけだが、ローソンのようなやり方ではいけない。内部セキュリティ対策は、経営的観点から行わなければならないのだが、カメラを使うような対策で満足しているのは、経営者の理解不足が原因と言えよう。また、情報システム部門でも、管理業務の負担が増えるというイメージがあり、リソース不足を懸念してしまうのが実情だ。

　しかしながら、内部セキュリティへの注目は確実に高まってきている。IT投資計画の一部に内部セキュリティ対策を組み込み、メリットを具体化することを試みる企業も出てきた。ISMSやBS7799など、セキュリティ監査規格も整ってきたため、これらの監査を通じて企業として信頼性の高さをアピールできるようにもなった。この流れが大きなムーブメントとなることを期待したい。

■使えるツールはある！

　では、それをどうやって実装していくのか。強く主張したいのが、「100％セキュリティを守るのはあきらめましょう」と言い切ることだ。これは決して悲観的な見方ではない。「情報セキュリティ・リスクをできるだけ小さくする努力や対策」と同じく、「そのリスクと上手につきあう方法も考えていくことが重要である」ということである。日々変化する、組織体制やビジネス・プロセス、IT環境の中で、情報の流通を完璧にコントロールすることは至難の業だ。もしセキュリティ対策がこうした変化への追従に遅れれば、逆に足かせにもなりかねない。企業としての柔軟性を保ちながらも、責任ある情報セキュリティ対策として推奨しているのが、サーバ上のデータへのアクセスの「4W1H（What：どのシステムリソースに、Who：誰が、When：いつ、Where：どのマシンから、How：どのプログラムによって）」を適切にコントロールし、後になってからトレースできる仕組みを作ることである。

　これらの仕組みを備えた上で、ログイン制御、パスワード制御、ネットワーク制御、ファイルアクセス制御、プロセス制御といったさまざまな制御機能を実装し、管理権限の分割や集中管理を可能にするソフトウェアが求められる。そこで、われわれがeTrustブランドで展開する提供するセキュリティ製品の中から「eTrust Access Control」をおすすめしたい。この製品は、IDS（侵入検知システム）やファイアウォールを巡回パトロールや、道路の検問による防犯対策とみれば、VIP（重要なデータ）を安全に守ってくれる屈強なボディガード役とみることができるだろう。IDSやファイアウォールでは防ぐことが難しい内部者へのセキュリティ対策として、eTrust Access Controlがボディガードが最後の砦となってくれると考えれば分かりやすいだろう。

　われわれは、3Aセキュリティソフトのナンバーワンベンダであり、国内外で多くの事例を持っている。さきほど話したすべての仕組みを搭載し、機能面でも先行している。また、eTrust Access Controlは主要なOSに対応しており、既存のOS環境にインストールするだけで強固なセキュリティ環境を実現できる。ビジネスアプリケーションにも影響しない。内部セキュリティに物理的な解決策は通用しない。情報の宝庫であるコンピュータシステムに対する論理的なソリューションが求められているのだから。

内部セキュリティ対策ソリューション
−eTrust Access Controlのご紹介

　eTrust Access Controlは、単にシステムとデータを保護する“ツール”ではない。セキュリティポリシーの統合管理を可能にする機能を備えた「セキュリティ管理のためのインフラ」なのだ。このため、企業の標準セキュリティ製品として取り入れてもらえば、より効果を発揮できるはずだ。

　図1を見てみよう。従来のセキュリティ対策としては、ファイアウォール、侵入検知、コンテンツ監視がある。社内の重要なサーバ自身の保護は、サーバ外の何らかの対策に依存しているケースがあるだろう。またサーバ自身の保護として、オペレーティングシステム（OS）の設定や、アプリケーションの設定である程度の対策を立てている例もあるだろうが、それにも限界がある。eTrust Access Controlは、OSのセキュリティレベルを向上させるため、サーバ自身に導入する製品だ。

図1　一般的な企業内のセキュリティ対策における eTrust Access Controlの位置付け

　サーバにeTrust Access Controlを導入した場合、OSのカーネルレベル制御の前にeTrust Access Controlがリソースの保護を行う。下の図2では、代表的なユーザーアクセスの項目をいくつか紹介する。ここで紹介されている項目は、サーバにアクセスするユーザーに対して制御するべきポイントになる。つまり、これらの項目によるユーザーのアクセス制御をすることで、OSに依存せず、本来必要なユーザーにのみ適切なリソースにアクセスさせることができる。

図2　eTrust Access Controlの中身

　サーバにアクセスするユーザーに対して制御するべきポイントとしては、OSでもいくつか存在するが、基本的な制御のレベルが異なる（図3）。

○ ○ ○ ○ ○ ○ 　 　 　 △ 別途ファイアウォールでの設定が必要 △ プラットフォームによっては、特定ユーザーのアクセスを否定 △ 単純に指定したパスワードでの制御ができる × 不可能 △ 特定のシェルアプリケーションの使用制限はできない △ 大まかな制限しかできない 　 UNIX

図3　リソースの保護：データへのアクセス制御プロセス

　また、重要なサーバが複数台存在している場合、一元的にアクセス制御ポリシーを設定し、それを全体に適用することができる。これにより、重要なサーバ群全体での設定レベルの統一と高い次元でのセキュリティ対策ができる（図4）。

　またアクセス制御だけではなく、ユーザーの監査や追跡も必要である。監査・追跡に必要な要素として、4W1Hが挙げられる。4W1Hとは、“いつ、誰が、どの端末を利用して、どのプログラムを介して、何にアクセスしたのか”といった情報を監査ログとして取得することを意味する。eTrust Access Controlは、個々の重要なサーバの詳細なアクセス監査ができる。もちろん、個別に取ったアクセス監査情報を集約し、一元的な監査ログ管理も可能になっている（図5）。

− 監査情報の中央集中管理

図5　アクセスログの収集

　これらの機能を使い、ファイアウォールの内側に、データを守ってアクセスログをきちんと取るレイヤーを新たに加えることで、あらゆる社内システムを共通のレイヤーで管理するインフラとなる。

　例えば、以下のような流れを想定してもらいたい。

1．一般ユーザーでWebサーバにログイン
2．一般ユーザーからOSのスーパーユーザー（SU）になり代わる（UNIXであれば、suコマンドでrootになり代わる）
3．正しいファイルを改ざんする

4．Webサーバを停止させる

　こうした状況において、eTrust Access Controlを起動しておけば、不正アクセスを2で止めることができる。一般ユーザーからスーパーユーザーに切り替えられる人を制限できるためだ。仮にこのユーザーがスーパーユーザーになれる人だった場合、3へと進めるが、eTrust Access Controlが細かくログを取っているので、誰がスーパーユーザーになり代わったのか分かる。これによって、例え改ざんできてもいずれ露見することになる。

　それでも強引に3をやろうとしても不可能だ。スーパーユーザーは、すべてのオペレーションを許されているが、eTrust Access Controlを起動していれば、「ファイルの置き換えが可能なのはWebコンテンツ管理者のみ」という指定ができるので、たとえスーパーユーザーであってもファイルは書き換えられない。4を試みても、「サービスの起動・停止を許可するのはWebアプリケーション管理者のみ」と決めておけば、スーパーユーザー権限をもってしても、サービスを停止させることは不可能になる。

　上の例を細かく見てみよう。

■一般ユーザーからOSのスーパーユーザーへのなり代わりを制御
　下の例では、一般ユーザー（iinuma）がSUコマンドを用いてrootにスイッチしている。しかし、uidがrootにスイッチできない。つまり、最初のログインユーザーのままのオペレーションしかできないということだ。

画面1

　このユーザーのオペレーションを、eTrust Access Controlで確認してみよう（画面2）。特定ユーザー“iinuma”からrootにスイッチするのをeTrust Access Controlで制御しているのが、次の監査ログで確認できるはずだ。

画面2

■ファイル改ざんの制御／サービス停止の制御

　rootやAdministratorなどオペレーティングシステム上の管理者に対し、リソースのアクセス制御を制限し、適切なユーザーにリソースへのアクセス権限を与えることができる。 画面3のオペレーションでは、rootユーザーが特定のディレクトリ（/var/www）以下にアクセスを試みているのが分かるだろう。root権限をもっていたとしても、eTrust Access Controlで制御しているため、特定リソースにアクセスすることができない。この例では、ファイルリソースで解説しているが、プロセス、プログラムに対しても同様の制御をかけることができる。

画面3

　このrootのオペレーションを、画面4のeTrust Access Controlで確認してみよう。例えrootユーザーであっても特定リソースへのアクセスが制御されているのがeTrust Access Controlから確認できる。

画面4

　次に、一般ユーザーがrootに切り替わり特定リソースにアクセスしたところを制御するケースを考えてみよう。このオペレーションでは、一般ユーザーがSUコマンドを用い、rootにスイッチしている。その後、特定リソース（/var/www/html）にアクセスをしたところをeTrust Access Controlで制御されている様子が確認されるだろう。

画面5

　このrootのオペレーションを、eTrust Access Controlで確認してみよう。画面6の監査ログを見ると、特定リソース(/var/www/html)にアクセスし、結果的に拒否されていることが確認できる。また、一般ユーザーがRootに切り替わり、オペレーションをしたにもかかわらず、rootに切り替わる前のオリジナルユーザー（OSにログインした時点でのユーザー）で監査していることが確認できるだろう。

画面6

　OSのユーザー権限は、極めて“ゆるい”と言える。eTrust Access Controlによって、本来の適切なユーザーのみがアクセス権を得られるようになる。これによって、内部からの不正アクセスを防御し、情報漏えいを阻止することにつながるはずだ。また、スーパーユーザー権限を分割することで、単純なオペレーションミスによるサービス停止も防ぐことができる。このような副次的な効果も期待できるのだ。

　平たく言えば、eTrust Access Controlはデータのある場所の入り口と出口をしっかり守るためのソフトウェアだ。カメラで物理的に監視するのではなく、サーバの中にログインしている人を監視・追跡して、OSの中の世界で強固なセキュリティを確立する。内部セキュリティの重要性を認識する企業には、ぜひ検討していただきたい。