監視とフィルタリング
内部関係者による脅威を検出しようというのであれば、適切なセキュリティ情報およびイベント管理(SIEM)システムが優れた出発点となるだろう。SIEMというソリューションは、1台、あるいは複数台のデバイスが関与するアクティビティから怪しい振る舞いを検出するものである。またこれは、防止策および、対策についての統制やプロセスを支える存在となる。最後に、大事なファイルや財務システム、その他の重要なシステムへのアクセスに対するログを有効化することも忘れないようにしてほしい。
フィルタリングというソリューションにより、2種類の監視ができるようになる。まず、すべてのデータ転送をチェックし、機密情報の有無を確認できるようになる。なお、システムによっては、ビジネスポリシーを適用することで、ある種の転送の防止や制限もできるようになっている。また、フィルタリングは電子メールで社外に送出されているものを調べる素晴らしい方法ともなっている。いずれの場合においても、怪しい転送(不自然な時間帯や、疑わしいロケーションとの間に発生している、サイズの大きなファイル転送を含む)が行われた際の緊急連絡が重要となる。
さらに、ネットワークセグメントをまたがる、あるいはシステム間の異常なアクティビティをNetFlowの分析によって洗い出すことで、フィルタリングおよびロギングのソリューションをより役立つものにできる。こういった機能はたいていの場合、SIEMソリューションに含まれているため、追加製品を購入する必要はない。正常なトラフィックのパターンを受け入れるよう設定するだけで、異常なデータ転送を洗い出す便利なツールとして使えるはずだ。
次に、従業員が盗んだデータの持ち出しに使用するインターネット上のロケーションに対するアクセスをとにかくブロックするという手段も考えられる。WebsenseやOpenDNSといったサービスを使用すれば、企業は社外の電子メールやデータ転送サービス、ストレージサイトに対するアクセスを制御できるようになる。こういったアクセスのブロックは、フィルタリングというソリューションを導入できない場合、特に重要となるはずだ。またこれらの手段は、従業員の退職時にも重要となるだろう。