企業の成長に伴って進化するセキュリティポリシー
企業規模にかかわらず企業内におけるこの種の脅威に対処できるポリシーを策定する最善の方法は、あらかじめ多層的な戦略を導入しておくことである。このようなポリシーは、行動的側面と技術的側面の双方を考慮したものとなるはずだ。
内部からの侵害の防止を目的とするポリシーは、以下のような問題に対処できていなければならない。
- フロッピーディスク、フラッシュドライブ、USB/FireWire接続のハードディスク、CDやDVDの書き込み対応ドライブといった外付けのリムーバブル機器の使用を規定したポリシー。内部で起こる侵害行為の多くは、内通者が企業データをリムーバブルメディアにコピーしたり、リムーバブルメディアを持ち込んでプログラムのインストールやネットワークへのデータのアップロードを行ったりする形で行われる
- 電子メールの添付ファイルに関するポリシー。内部からの侵害の多くは、ネットワーク上の誰かが汚染された添付ファイルをオープンしたり、電子メールの添付ファイルを用いて企業の機密データをネットワーク外に送信したりする形態をとっている
- 印刷に関するポリシー。企業データを電子データとして送信したり社外に持ち出したりできない場合には、内通者はその情報を印刷して持ち出そうとする可能性がある
- ダウンロードに関するポリシー。意図的ではないセキュリティ侵害の多くは、ネットワーク上のユーザーが悪意のあるコードを含んだ情報をウェブからダウンロードし、そのコードが外部の攻撃者の侵入の糸口を作ることによって引き起こされる
内部からの脅威を防止するためのポリシーの強制
「……するなかれ」といったことを書き連ねたポリシーを公布するだけでは十分ではない。企業のセキュリティ戦略における第2のステップとして、可能な限りセキュリティポリシーに従わざるをえないように技術的な手段を講じておくべきである。
