PR

監修・NPO日本ネットワークセキュリティ協会 セキュリティ監査WG
文・夏目雅好(ネットマークス 公認情報システム監査人)

 毎日のように個人情報流出がメディアをにぎわせ続けています。これは個人情報が流出した企業や組織が情報を提供した個人への説明責任を果たそうと努めていることの表れであり、二次被害を食い止めたいとの思いでもあります。

 情報セキュリティ対策は、民間企業では一般的に公表しません。対策をオープンにすれば回避方法を考えることができるという理由からです。しかし、流出させてしまった組織は信頼回復の手段としてある程度まで対策を公開しています。おかげで本来明かされない企業の情報セキュリティ対策を垣間見ることができ、本コラムを読まれる方々には『他山の石』を自組織とのベンチマーキングに活用できます。ここ1年ほどの間に公表された情報流出事故後の対策の一部をまとめたのが下の表です。

■表1 ここ1年ほどの間に情報流出事故後の対策
信販
A社
信販
B社
流通
C社
流通
D社
鉄道
E社
鉄道
F社
通信
G社
通信
H社
情報セキュリティ教育
情報セキュリティ監査
データアクセス権限の制限
生体認証
ログ管理
PC 機能制限
暗号化
高セキュリティエリアの設置
監視カメラ

 本コラムのタイトルでもある「情報セキュリティ監査」は約80%実施されており、この監査実施企業のうち50%は、表には記載していませんが第三者監査も実施しています。外部機関による監査の客観性の有用性が認知されてきていることが伺えます。

 総務省は、2004年4月14日に「個人情報の内部流出を防止するための措置の徹底について(要請)」で下記の適切な措置を講ずるように要請しています。

■表2 総務省が要請する内部流出防止措置
(1) 個人情報データベースのアクセス管理強化
1) 個人情報データベースへのアクセス権限を必要最小限に限定すること
2) 個人情報データベースのアクセス記録(ログ)を長期間保存し、アクセス状況を適切に監視できる体制を整備すること
3) 個人情報データベースにアクセスできる端末のあるスペースへの入退室の管理を徹底すること 等
(2) 個人情報データの持ち出し手段の制限強化
1) 個人情報データベースにアクセスできる端末において、外部記憶媒体へのデータの記録をできないようにするとともに、プリントアウトは厳重な管理の下で行うようにすること
2) 個人情報データベースにアクセスできる端末から送信されるメールを監視すること 等

 本要請の対象でなくとも、ここにあげられていることは個人情報漏えい対策としてベーシックなものですので取り組まなければなりません。セキュリティ対策製品を購入すればすべて実現できるのであればいいのですが、「体制を整備すること」や「管理を徹底すること」は運用がポイントとなる対策であり、業務の再構築や新たな人的リソースが必要となります。

 では、これから対策を始める場合はどこから手を付ければよいでしょうか?

 こういう時に役立つのが『他山の石』です。先の表では、この要請をカバーするような対策を抽出してあります。の青色の部分がシステムですべき対策、黄色が物理的対策です。このなかで現状業務をあまり変更せず、且つ運用工数負担が少なく、今すぐ、明日からでも始められるのが「ログ管理」です。

■ログ管理のビジネス要求

 先の表では、約80%の企業がログ管理を実施しています。個人情報流出事故の多くはログ管理が不十分であったため、流出経路が特定できずに警察当局に指導および捜査協力を仰ぐケースも多く、その反省もあり徹底したログ管理を表明している企業は多々あります。従って、ログ管理には以下のようなビジネス要求があると考えられます。

  • いつ、どのような被害を受けたか把握したい
  • 誰が何をした結果なのか解明したい
  • 何故事象が発生したかを分析し予防につなげたい
  • 不審な挙動を早めに察知したい
  • 自分達の組織は確実に対策を実施していたことを証明したい

■ログ管理の検討──目的により施策の内容は異なる

 ログ管理はその目的により実施する施策の内容が異なります。情報漏えいにつながるような操作を検知することが目的なら、「PC上でのUSBドライブの利用」や「Winny使用」などを検出する必要があり、管理しなければならないのはPC操作ログです。

 PC操作ログの収集はシステム利用者の行動が明確になるため、不正を働く気持ちを抑止する効果もあります。

 Eメールによる漏えい検知が目的であれば、メールサーバからインターネットへ送信するメールを収集する必要があります。そして、収集したメールを、例えば個人情報リストを検出するために「添付ファイルにn個の文字列または単語の組み合わせがn回出現する」のような条件での検索を行います。

 権限のある利用者の許可された操作のなかで行われた場合、事故発覚前にログを検索して検知することは不可能です。しかし、流出事故が発生してからの経路特定が目的であれば、サーバアプリケーションのトランザクションなどのログを保管することで実現できます。この場合のログ管理は、検出目的のログ管理と異なり、いかにして不正を検出するかよりも、ログの完全性を確保しながら保管することに比重が置かれます。

■ログを改ざん/削除から保護する

 ログを改ざんから保護することも必要です。特にシステムの管理担当者はroot権限やadministrator権限を有しているためログの操作が可能ですので、管理は別の管理担当者が行うことで相互牽制することを検討します。

 ログには個人情報や業務上の機密が含まれることも多く、ログの閲覧権限を適切に割り当て確実に運用しなければなりません。また、個人情報保護法では安全性の確保などを求められますので、システムとして実現できていることの証跡としてもログの保護は重要です。

 ログファイルを一元管理することでログを改ざん/削除から保護することは、ログ管理のための工数負担減少のためにも有効です。

 ログの管理は直接的な予防策ではありません。しかし不正を抑止し、事故が発生した時に速やかに調査分析するための大切な根拠になります。

 ログ収集管理を実現するためには、収集目的、収集対象、収集する情報の種類、収集方法、保存期間、保存場所、検索方法、レポーティングなどについて検討するようにします。

◆サブコントロール解説コーナー◆

 7.7.2 情報処理設備の使用状況を監視する手順を確立すること

【解説】

 7.7.2.2から6では、監視項目には、認可されているアクセスについて、(1)利用者ID、(2)その重要な事象の日時、(3)その事象のタイプ、(4)アクセスされたファイル、(5)使用されたプログラム・ユーティリティを含むこと を求めています。

 7.7.2.7.から9では、監視項目には、すべての特権操作について、(1)監督者アカウントの使用の有無、(2)システムの起動及び停止、(3)入出力装置の取付け・取外しを含めること を求めています。

 数年前までシステム構築及び運用の考え方は、クリティカルなエラーであれば常 時モニタリングする必要があり、そうでなければログとして蓄積しておいて、適 当なタイミングでチェックするというものでした。そのため、システム障害のようなイベントドリブンなログは監視対象とするが、 ジャーナル的なログ(トランザクションの記録など)は勘定系システムなど一部 を除き殆ど対象とされてきませんでした。

 個人情報を扱うシステムでは、ハードウエアや人的リソースを節約することとセ キュリティ確保を併せてビジネス要件とし、そのうえで適切に管理できているこ との説明責任を果たせるように、厳格に監視することを検討します。

 サブコントロールにあるような監視をすると共に、相互牽制の意味から一般利用 者を監視する担当者や情報システム部門の行動(操作)を監視するミッション を、情報システム部門以外の部門(例えば、監査部門)に持たせることの検討も 重要です。


筆者紹介 NPO 日本ネットワークセキュリティ協会
セキュリティ監査ワーキンググループ
2002年に経済産業省が主宰する「情報セキュリティ監査制度」策定のための委員会に、JNSAとしての意見、研究成果を報告した。これらの成果は「情報セキュリティ監査制度」に反映され、2003年4月に施行開始となった。2003年はJNSAとして独自の電子自治体情報セキュリティ管理基準を策定し、公開。コラム執筆は大溝裕則(ジェイエムシー)、河野省二(ディアイティ)、夏目雅好(ネットマークス)、丸山満彦(監査法人トーマツ)、吉田裕美(ジェイエムシー)が担当。