目次
設定ミスによる情報漏洩を事前に察知
Microsoft 365のセキュリティ対策
クラウドサービスの設定ミスによる情報漏洩事故が増加しています。総務省のガイドラインでも推奨される適切な対策をご紹介します。
クラウド上の個人情報取り扱いに関する安全管理項目
クラウドサービスの利用が進む昨今、規模の大小を問わず、クラウドサービスにまつわる様々な事件が発生しています。昨年は某旅行代理店において、アクセス権限の設定ミスにより、1万件以上の本来アクセスされてはいけないデータが、不特定多数からアクセスできる状態になる、という情報漏洩事件も発生しています。
このような事件を防ぐため、企業は様々なセキュリティ対策を行っています。特に保険金融業等の、顧客情報を多く取り扱う業種や企業ではより厳しい管理を求められます。例として、某大手金融保険企業では、取引先に以下のような安全管理項目からなる独自のガイドラインに適応することを求めています。
<某大手金融保険企業が取引先に求める安全管理項目の抜粋>
●アクセスログ管理の確認
個人情報を含む情報システムについては、アクセス履歴を記録し、一定期間保管しなければならない。
また、ログが保存されるファイルは責任者/管理者以外のものがアクセスできないようにしなければならない。
●アクセスログのモニタリング実施の確認
個人情報を含む情報システムについては、定期的な分析/監視を行わなければならない。
特に、漏えいを防止するため、大量のデータのダウンロード等のアクセス履歴を注意して監視しなければならない。また、管理者/責任者のアクセス履歴は他の要員が検証しなければならない。
つまり、個人情報を含む機密情報をクラウド上に保管した際には、「アクセス履歴の記録・保管」と「クラウドサービス上で不審な操作が無いかを定期的に監視する」必要があるとしています。
このように、クラウド上の情報管理においてはどの企業でも、自社の情報取り扱いルールだけでなく、取引先の企業や親会社、グループ会社等からルールに則った管理を行うよう求められる可能性があるのです。
ガイドラインの対応方法と課題
それでは、上記のようなガイドラインに対応するよう要求されたとき、具体的にはどのような作業が必要になるでしょうか。一部を抜粋してご紹介します。
| 要件 | 安全管理項目 |
|---|---|
| アクセス履歴 | ログイン及びログオフの日時 操作内容及び取引内容 など |
| 分析/監視の観点 | 業務時間外のアクセス 外部からの不正なネットワークアクセス・失敗アクセス など |
※上記は一例です。監査要件の項目は、企業により異なります。
お使いのクラウドサービスのアクセス履歴の確認や分析をしたい場合、まず見るべきは監査ログです。多くのクラウドサービスでは、サービスの一部として操作ログを取得する機能を提供しています。しかし、全ての操作ログを無期限で保管する、という製品は少ないため、自社で利用するサービスのログの取得範囲と保存期間をあらかじめ確認しておくのが良いでしょう。
さらに、保管されたログを確認、分析するには一定のスキルを必要とします。Microsoft 365の監査ログにおいては操作ログの各項目が数値で表される箇所もあり、ログを読み解くにはMicrosoft が提供する公開情報と照合する必要があります。
このように、ガイドラインに対応するには、情シスなどの担当者の労力をかなり必要とする、ということがお分かりいただけたのではないでしょうか。
ガイドラインの対応におすすめのツール
ここまでご覧頂いたように、クラウドサービスの監査対応は、担当者の方の片手間で対応するには非常に負荷のかかる作業です。そこでお勧めしたいのが、クラウドサービスのログ取得・管理に特化したツールの活用です。
例えば、弊社の提供するLANSCOPE セキュリティオーディターでは、Microsoft 365と連携し監査ログを取得、誰が見ても分かりやすい形に整形し、セキュリティリスクを見える化します。
ガイドラインの安全管理項目として管理が求められる「アクセス履歴」のログイン及びログオフの日時や操作内容、及び取引内容は、LANSCOPE セキュリティオーディターでは下記のように確認できます。
いつ・誰が(ユーザー名/メールアドレス)、どこで(IPアドレス)・どのアプリを使ってログインしたのか、さらにログイン後にどのように操作したのかを、誰が見ても分かりやすいように可視化しています。
実際に、Microsoft 365のクラウド安全管理項目に対応するためにLANSCOPE セキュリティオーディターをご導入いただいたお客様には「LANSCOPE セキュリティオーディターだけで、要求された監査項目に概ね対応できる」とご満足いただけた実績もございます。
「操作ログ管理はPC端末に導入している資産管理ツールで十分だ」という方もいらっしゃいますが、資産管理ツールではクラウド上の操作ログを取得しきれない部分もあります。そのため、特にクラウド監査の対応などにおいては、クラウドサービスに特化したツールをご検討されることをお勧めします。
今回ご紹介したセキュリティ要件の内容の、より詳細な項目や製品での具体的な対応方法をご紹介したホワイトペーパーをご用意しております。ぜひご覧ください。
設定ミスによる情報漏洩を事前に察知
Microsoft 365のセキュリティ対策
クラウドサービスの設定ミスによる情報漏洩事故が増加しています。総務省のガイドラインでも推奨される適切な対策をご紹介します。
