【第9回】情報漏洩対策緊急講座　「サーバ内データファイルとデータベース資産を守る」　セミナーレポート

個人情報保護法の施行によって、個人情報の漏洩対策に関心が高まっている。しかし対策が必要なのは個人情報だけでなく、企業内部に存在する機密情報や知的財産など、さまざまな分野に及んでいる。ITの総合セキュリティを提供しているコンピュータ・アソシエイツとデータベース専門のセキュリティを提供するアイピーロックスジャパンは、2005年6月2・３日に共同でセミナーを開催。船井総合研究所のコンサルタントの講演を含め、両企業の得意とする分野での情報漏洩セキュリティ対策方法と、自社ソリューションを紹介した。

船井総合研究所 コーポレイトストラテジー＆タクティクスグループ　菊地広記氏

　最初に講演を行った船井総合研究所 コーポレイトストラテジー＆タクティクスグループの菊地広記氏は、機密情報漏洩に関する被害額の試算に基づく、リスクマネジメントの考え方について語った。

　まず同氏は、過去に京都府宇治市で発生した情報漏洩事件が、21万人の情報を漏洩したのに対して、集団訴訟を行ったのはわずか3人だったことを例に挙げた。同事件は、一般的な被害額試算では31億円以上の規模の情報漏洩事件であったと言われているが、日本では集団訴訟が起こりにくい気質もあり、実際には今のところわずか4万5000円の慰謝料で済んでいる（現在係争中）。

　菊地氏は、日本は個人情報漏洩ばかりに気を取られているが、それよりも守らなくてはいけない情報が多々あることを説明。その一例が知的財産に関する機密情報だ。菊地氏は、青色LEDで有名な中村修二氏を例に挙げ、実際の訴訟における論点とは異なるが、裁判時に提出された当該知的財産価値の算出方法を流用し、もし当時の日亜化学で技術情報漏洩が起きたと仮定した場合、どの程度の被害になるかを試算したデータを提示した。

　そして「これまでに、青色発光ダイオードの技術を使った総売上から想定算出された特許のライセンス料が1028億円に及んでいることから、もしもこの機密情報が漏洩したと仮定した場合、企業としての競争力はなくなっている」（菊地氏）と警告。宇治市の例と比較しても、リスクに対する判断が重要なことは明らかだと述べた。

　また菊地氏は、セキュリティマネジメントは企業にとってのリスク管理の一部であると強調。「リスク管理では、現状の課題が、ビジネスにとってどの程度影響があるかのポジショニングが重要である」（菊地氏）と語った。

　一方で、個人情報保護法の施行によって、個人情報漏洩防止のためにセキュリティ対策を実施するケースが増えている。これに対して菊地氏は「個人情報保護法対策を重点的に行うことは決して無駄ではないが、それのみに傾倒するのは大きな問題がある」と指摘している。そして「リスクマネジメントを実施し、セキュリティ対策が、どのようなリスクやコストの削減につながるか、という経営への影響を加味した戦略的な投資が必要となる」という考え方を説明した。

　一方、同氏は、企業のセキュリティ対策が、個人情報保護に偏りがちになる理由を説明。「セキュリティに関する脅威がビジネスにどの程度影響を与えるかを算出する能力や、自社がどれだけの脆弱性を抱えているかを検証する能力に欠けている」（菊地氏）ことを挙げた。そして、脅威に対して企業の実情がどうなっているかを監査するには、アクセスログの取得が1つの有効策になることをアピール。「社員がどういう行動をしているかを把握でき、また業務プロセスの実態の把握によって、業務上の制約条件の抽出が可能になる」（菊地氏）ため、効果的な改善方法の計画立案と実施、検証が可能になると語った。

コンピュータ・アソシエイツ　テクノロジーディビジョン　中島浩光氏

　コンピュータ・アソシエイツ　テクノロジーディビジョンの中島浩光氏は、内部情報漏洩への効果的な対処策についての講演を行った。同氏は、「よく言われる話だが内部からの情報漏洩が8割を占めており、外部からの侵入で万単位の件数での情報漏洩はほとんど起きていない」と、セキュリティ対策の目を内部に向けるべきだと強調する。

　また、外部ユーザーは自分以外の情報はほとんど扱えないのに対して、内部ユーザーが扱える情報は幅広いと説明。一般ユーザー権限で扱える情報は自分と部門内程度のものに制限されている場合が多いが、実際には他部門の情報も頼めば入手できる場合が多い。さらに管理者権限では、社内のあらゆる情報にアクセスできるケースも多く、ITスキルも高いので権限を越えた操作も可能で、企業は内部に非常に大きなリスクを抱えていると述べた。

　内部管理を実施する方法として、アクセス管理やログの取得を行う企業もあるが、内部ユーザーのログ対策は気やすめ程度にしかならない可能性も高いという。中島氏は「対策が強制力を発揮するには、しっかりとしたルールに基づいたアクセスコントロールが必須」だと強調した。

　そして、アクセスコントロールを実施するにあたっては、システム管理者とセキュリティ管理者を別にすることが基本になるという。兼任すると書き換えなどのリスクが大きいためだ。それぞれを分ける場合には、セキュリティ管理はセキュリティ管理者のみが行うことができ、逆にデータの移行などはシステム管理者のみが行えるような設定にしなくてはならない。

　ログの取得に関しては、ユーザー名だけでなく、IPアドレス、プログラムの種類、時間帯など、4W1Hの行動に基づいた正確なログの取得が必要になる。また、UNIX／LinuxなどのOSベースのログでは、「suコマンド」によって途中でroot権限に変更されると、だれがアクセスしたかが分からなくなるケースや、管理者のログの改ざんが起きやすいことから、そうした行動を防ぐ仕組みが不可欠となることを強調した。

　強力なアクセス制御機能や、OSに依存しない監査ログのフォーマット出力、ログの改ざんを防止する機能を備えたツールとして、コンピュータ・アソシエイツの「eTrust Access Control」が有効になるとアピール。具体的な機能としては、情報資産へのアクセス成功も取得できる点や、内部の管理者に対して強制力のあるコントロールが可能になる点、特権ユーザー（root、admin）が万能でなくなる点が挙げられる。そしてログインできる端末、時間帯、プログラムとプロトコルなどによる、さまざまなアクセスパターンに対応したアクセス制御が可能になるという。中島氏は、「eTrust Access Control」の持つ各種の機能が内部情報漏洩を防止するための有効策になると強調し、講演を終えた。