編集部からのお知らせ
記事PDF集:官民意識のゼロトラスト
電子インボイスの記事まとめ
座談会@ZDNet

「われわれはあなたの活動を監視しています」--悪意の権限者への対応:セキュリティベンダー座談会(4) - (page 4)

怒賀新也 (編集部) 山田竜司 (編集部) 吉澤亨史

2015-11-27 07:30

染谷氏 抑止力をどう組織的に高めていくかという話と、強制力をどう技術的に高めていくかというところ。それが非常に重要ですね。

 そのへんのバランスがないと意味のない話になってくるので、たとえDLP(情報漏洩対策)を使っていても、抑止に対する取り組みを何もやっていなければ、犯行に及ぶ人はDLPがあることを知りませんから、どんどん悪さをしていくわけです。


トレンドマイクロ 上級セキュリティエバンジェリスト 染谷征良氏
海外、日本のITセキュリティ業界で、競合分析、製品・技術戦略からインシデント対応など幅広い領域で15年以上の経験を有する。セキュリティ問題、セキュリティ技術の啓発に当たる

 ですから、極端な話、「われわれはあなたの活動を監視しています」と言っても構わないと思います。言った上で、もしあなたたちが変なことをやっているのが見つかったら、こういう罰則がありますというのをはっきりと出してしまう。そういった形で、抑止力をいかに高めていくかというところですね。

外村氏 抑止力ということでDLPという言葉が出ましたが、面白い使い方をしている顧客がいます。DLPは情報漏えい対策なので、外に出て行く方に網を張っています。でもその顧客は、中に入ってくる方にも同じように網を張っているんですね。これは、社員が仕事を家に持ち帰るわけです。それを会社に戻すときに自分のアドレスにメールでデータを送ってくるんです。送る分には問題ないだろうと考えるんですね。

 そうすると、本来ないはずのものが送られてくるのでDLPが反応します。実際に漏えいは起きていませんが、社員のそういう行動に漏えいのリスクがある。

 従業員は、会社が出て行くデータをチェックしていることは知っていても、まさか自分が自分宛に送るメールもチェックしているとは思っていないので、そこで引っかかるとは思っていない。そういうことが抑止力になる。見られている、うちの会社はしっかりしているんだと思わせることが非常に重要です。

染谷氏 もう1つ、やり方としてあるのが、技術的に抑止力を見せるということです。よくあるのが、DLPでポップアップをわざとたくさん出すという方法ですね。

 例えば、重要なファイルをUSBメモリにコピーしようとした瞬間にポップアップを表示させて、そこにIT部門や人事、総務部門からのメッセージを載せておく。そうすることで「やってはいけないことなんだ」と気づかせるわけです。そういった可視化に取り組んでいる会社は多いですね。

(5)に続く。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. 経営

    5分でわかる、レポート作成の心得!成果至上主義のせっかちな上司も納得のレポートとは

  2. 経営

    ノートPCは従来ながらの選び方ではダメ!新しい働き方にも対応する失敗しない選び方を徹底解説

  3. 経営

    問題だらけの現場指導を効率化!「人によって教え方が違う」を解消するためのマニュアル整備

  4. ビジネスアプリケーション

    緊急事態宣言解除後の利用率は低下 調査結果に見る「テレワーク」定着を阻む課題とその対応策

  5. ビジネスアプリケーション

    たしか、あのデータは、こっちのアプリにあったはず…--業務改善のためのアプリ導入がストレスの原因に?

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]