【第3回】「エンドポイントのクライアントPCにおけるセキュリティ統合管理の必然性」

■ステージ2　〜情報漏えい対策における細やかな制限機能〜

　ステージ１に加え、企業内のセキュリティに関する現状を把握し、さらにコントロールする機能がステージ2になる。ステージ2では情報漏洩を防止する点が主な目的であり、PC Checkではリムーバブルメディアやネットワークの利用を状況に応じて制限できることで、柔軟な設定を可能としている。

　このステージでの最大の課題は、業務遂行に支障のない適度な制限をかけるということである。例えば、単純にUSBポートの利用を禁止してしまうと、情報漏洩などとは無関係なキーボードやマウスといったUSB接続の機器も使えなくなってしまう。また、USBメモリだけを禁止したとしても、業務上使う必要もあるということを考慮しないと、業務に支障がでてしまう。単にUSBポートやUSBメモリと大きく括ってしまうのではなく、もっときめ細かな制限をかけていく必要がある。

　PC Checkは、たとえば最近では指紋認証機能付きのUSBメモリもあるが、こうしたUSBメモリを会社で配り、それをシリアル番号単位で管理して、指定したものだけを使えるようにする、といったことも可能である。 また、USBメモリに保存する際に暗号化した場合でも、許可したネットワーク以外では復号できないようにすることで、自宅やネットカフェなど、会社が許可しない場所ではデータを利用できないようにできる。データをコピーする際には暗号化を必須とし、さらに復号できる場所を制限することで、データ漏洩の可能性をより減らすことができるわけだ。

ステージ2のセキュリティ対策。リムーバブルディスクの利用を、デバイスと持ち出しデータの両面から柔軟に制御

※クリックすると大きい画像を表示します。

■ステージ３　〜証拠保全のためのログ保存・管理機能〜

　ステージ2で情報漏洩を防止し、さらにそれらがきちんと運用されているか、証跡を取って検査するのがステージ3だ。PC Checkでは、ログを保存、管理することで証拠保全の役割を果たすことができる。 PC Checkでは、クライアントPCが行った操作のログを取り、暗号化してサーバに蓄積する。たとえば１つのファイルデータが漏洩した場合、そのファイルは「○年○月○日に××さんが社外に持ち出した」「営業部から持ち出された」といった形でデータの漏洩元を追跡することになるが、PC Checkのログ検索機能により、容易に追跡を可能としている。

ユーザーの行動を一元的に管理することで不正防止につなげるログ管理機能

※クリックすると大きい画像を表示します。

　また、悪意のある攻撃者が、たとえばファイルをリネームしたり改ざんしたりして重要ファイルを盗んだ場合でも、オリジナルファイル検索機能でファイル名の変更やファイルへの書き込みを追跡することで、重要ではないファイルに見せかけても、それらの変更を把握することができる。

　ステージ2ではリムーバブルメディアへのコピーを管理できるが、これと連携させることもできる。具体的には、ステージ3で提供される「リムーバブルメディアへの書き込みツール」により、メディアに書き込むファイルを暗号化し、さらにそのファイル自体を別途コピー保存し、原本を常に残すことが可能である。ステージ2のリムーバブルメディアへのコピー制限では、特定のアプリケーションでのみ書き込むことを許可する設定をすることも可能だ。このような機能を組み合わせることにより、持ち出すファイルのすべての原本を保管することが実現できる。

　この原本の保存には重要な役割があり、たとえば前述の持ち出されたファイルの名前から持ち出されたファイルの内容を検索する機能では、仮にオリジナルおよび中間ファイルの全てがなくなっていると追跡できない。しかし原本のコピーがあれば、持ち出されたファイルの内容は常にあとから確認できる。この機能によって、仮にUSBメモリを紛失した場合でも、どのようなデータが保存されていたか、ファイルの内容をすぐに確認することができる。そのファイルに機密情報や個人情報が含まれていたかどうかを簡単に確認することができる。

　このように、PC Checkのログの保存・管理機能は、単にリムーバブルメディアにコピーされたファイル名のログを取得する製品とは違い、ファイルコピーと同時に原本をコピーして保存することができる点も同製品の強みとなる。