ネットワークセキュリティの要諦

外部委託会社による機密情報流出から身を守る方法 - (page 2)

菅原継顕(Palo Alto Networks)

2014-07-27 07:30

対策は「アクセス制限」だけでは不十分

 これらの数千万人規模の情報漏えい事故の共通点は「外部委託先による内部犯行(過失を含む)」が原因であるという点です。対策としてまずは、最低限下記を実行すべきです。

 アクセス制限:機密情報へのアクセスやダウンロードを厳重に制限し、モニタリングとアラートの仕組みを整備する(契約社員に業務範囲を超えた機密情報のアクセスやダウンロードできる権限を与えるべきではない)。

 ただし厳密なアクセス制限やモニタリングの仕組みだけでは十分ではありません。

 ほとんどの企業ではインターネットから企業ネットワークへのアクセスにはセキュリティシステムを設置していると思います。なぜならインターネットの向こうにはサイバー攻撃をしかける悪意を持つ攻撃者がいるのが前提だからです。

 しかし、外部からの攻撃には対策していても内部からの攻撃に対して十分な対策をしていない企業は多いようです。一方、情報が漏えいした場合それが外部からの攻撃であっても内部犯行であっても被害への影響は同じです。

 故意であれ過失であれ内部からの犯行は起こりえます。外部からの攻撃を防御するのと同じ考えで、同じレベルのセキュリティシステムを設置するべきです。例えばデータセンターに外部からのアクセス用にファイアウォールを設置するのであれば、内部ネットワークからデータセンターへのアクセスへもファイアウォールが必要です。

 このように考えると先ほど「最低限」として挙げたアクセス制限も十分でないことがわかります。外部の攻撃者にはアクセス権を与えていない上に、外部から機密情報があるサーバにパケット1つも届かないようなネットワークを構築しているにもかかわらず、内部にいる者に対しては管理者以外にアクセス権限を与えていないだけで、ネットワーク上はつながっている場合が多いためです。これでは内部からは比較的容易に機密情報を盗み出せてしまいます。もちろん管理者のアクセスであっても信頼せず十分モニタリングすることも重要です。

 再度言いますが内部犯行はありえます。データベースやサーバへのアクセス権限を制限するだけではなく、管理者以外は機密情報を有するサーバにパケットすら飛ばせないようなネットワークレベルでのセキュリティシステムを設置することにより、内部犯行によるリスクの軽減が可能です。

 内部ネットワークのセキュリティについては「これからのネットワークのセグメント化」と「これからのネットワークのセグメント化Part2」でも紹介しています。これらの記事が自社のセキュリティを見直すきっかけになれば幸いです。

菅原 継顕
米パロアルトネットワークス
日本国内で大手アンチウイルスベンダー、UTMベンダーなどでマーケティングを担当し、現在パロアルトネットワークス米国本社でシニアプロダクトマーケティングとして管理系製品、日本とアジア市場を担当。約15年、情報セキュリティに携る。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    生成 AI 「Gemini」活用メリット、職種別・役職別のプロンプトも一挙に紹介

  2. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  3. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  4. セキュリティ

    マンガで分かる「クラウド型WAF」の特徴と仕組み、有効活用するポイントも解説

  5. セキュリティ

    警察把握分だけで年間4000件発生、IPA10大脅威の常連「標的型攻撃」を正しく知る用語集

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]