通信に着目して特定個人情報が適切に扱われているかを監視、S&Jらがサービス開始へ情報取り扱いのルールは守られているか?

S&Jはオーシーシーと共同で、エンドポイントの通信に着目し、マイナンバーを含む個人情報(特定個人情報)が適切に扱われているかどうかを監視する「My SOC」サービスを7月1日から提供する。

» 2015年06月19日 14時13分 公開
[高橋睦美@IT]

 S&Jは2015年6月11日、沖縄に本拠を置くオーシーシーと共同で、マイナンバーを含む個人情報(特定個人情報)が適切に扱われているかどうかを監視する「My SOC」サービスを、7月1日から提供することを発表した。

S&J 代表取締役社長 三輪信雄氏

 My SOCサービスでは、Windows PCに導入するエージェントを通じて操作ログを吸い上げ、独自のロジックによってフィルタした内容を人の目で判断。意図的な、あるいはマルウエア感染による外部への情報流出が発生していないかどうかを監視する。自社内でマイナンバーを取り扱う場合はもちろん、外部の事業者に委託する場合にも適切に扱われているかどうかをチェックし、監督責任を果たす意味合いでも利用可能だ。

 具体的には、事前に登録された端末以外でマイナンバーが取り扱われていないか、登録された端末でUSBメモリへのコピーといった不適切な操作が行われていないか、端末のOSを最新に保つなど基本的なセキュリティ対策が実施されているか、といった事柄を監視する。もし不適切な取り扱いや不審な通信を発見した場合には速やかに顧客に報告するとともに、オンラインで確認できるリポートを提供する仕組みだ。

 Windows端末からエージェントを通じて収集したログは、基本的には暗号化した上でOCCのクラウド上に保存される。ただし場合によっては、社内サーバーに集約しておき、My SOC監視センターからVPN経由でリモートから監視するという運用も可能だ。

 「必ずしもマルウエアを探さなくても、エンドポイントが横や外に対して不審な通信を行っていないかどうかを監視することによって、情報が適切に扱われているかどうかを確認できる」と、S&J 代表取締役社長 三輪信雄氏は述べている。

着目すべきはマルウエアではなく「通信」

 My SOCサービスはマイナンバーを含む個人情報、いわゆる特定個人情報を対象にしているが、三輪氏によると、キーワードを設定すれば、それ以外の個人情報や機密情報の取り扱いを監視するためにも利用可能という。

 マイナンバーに限らず個人情報に関しては、「適切に扱うべし」と指針が示されながらも、実際には許可された端末以外でデータが扱われたり、作業終了後消去すべき情報が残ったままになっていたりと、ルールが守られず漏えいに至るケースは枚挙にいとまがない。My SOCサービスは、こうした指針がお題目に終わらずきちんと守られているかどうかを、情報を扱う端末の挙動を監視することでチェックすることが特徴だ。

 特に、マルウエア感染に起因する情報漏えいでは、たとえウイルス対策ソフトウエアでスキャンを行っても、必ずしも検知できるとは限らない。また、あるマルウエアが別のマルウエアを呼び込んだり、活動を隠蔽するために自らを消去したりすることもあるため、マルウエアの振る舞いのみにフォーカスしていては検知しきれない恐れがあるという。

 「マルウエア自体を探さなくても、外部の不審なサーバーと通信したり、システム内のActive Directoryサーバーに攻撃を仕掛けたりと、何らかの通信は必ず発生するはずだ」(三輪氏)。ログを通じてこうした動きを見付け、同社が保有する脅威情報(不正な通信先のリスト)と照らし合わせることで、情報の流出を防ぐことができるとしている。

 My SOCサービスはS&J、オーシーシーの他、福岡情報ビジネスセンターが販売代理店となる。初期費用は30万円、料金は月額20万円から。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。