Written by MashiNari
ITベンダー、インフラ全般サービス企業で、プロジェクトマネージャー/リーダー等の経験を経て2016年にフリーランスへ転身。
インフラやクラウドシステムを中心に、要件定義、設計、構築、保守まで携わっています。
インフラの土台からweb周りの案件にも視野を広げ、近頃ではフロントエンド・バックエンドの開発にも従事し、日々奮闘中です。
“ChatGPT”の社内利用ルール、どう決める?
【AIサービス利用ガイドライン】を公開!
MOTEXが社内向けに作成したAIサービス利用ガイドラインをダウンロードできます。利用方針の決め方、作成ポイントの解説付き!
情報漏洩を防止するために、組織として実施するべき対策は多岐に渡ります。
セキュリティ対策を実施するうえで、どこから着手するべきなのか迷っている方もいらっしゃるのではないでしょうか。
組織を狙うサイバー攻撃の手法の進化は日進月歩で、信頼していた内部の人間が不正を働き情報流出を起こしてしまう事件も近年増加しています。
この記事では、組織が実施すべき基本的な情報漏洩対策を、「システムの健全化」と「運用の健全化」の2つの観点で解説します。
システムの健全化
機密情報を守るためには、組織が利用しているシステムを健全な状態に保つことが重要です。高性能なシステムであっても、日々生み出される攻撃手法に対応するためには最新の状態に保つ必要があります。
ここでは、システムを健全な状態に保つための運用例を紹介します。
サーバーやネットワーク機器の管理
高性能な機器を利用していても、最新のOSやセキュリティパッチが適用されていない状態では、そこから情報が漏洩する恐れが非常に高くなります。そのため、利用している機器は漏れなく最新の状態を保つことが重要です。
ここでは、特別なツールやサービスを利用していないことを前提に、機器を最新の状態に保つ運用例を紹介します。
健全なシステムを維持・管理するポイント
- 組織が保有している機器の一覧表(機器管理台帳)を作成する
機器の最新化は、パッチ適用などの手順も重要ですが、そもそもの対象機器に漏れが発生しやすい側面があります。
機器の一元管理台帳を作成することで漏れを防ぎ、メンテナンス計画を立てる時のベース情報として活用することが可能です。 - 作業マニュアルを作成する
定期的なOSアップデートやパッチ適用であっても、作業マニュアルの作成を行いましょう。
内容には、作業手順とセットで確認手順を記載することが定石です。
ケアレスミスを防げるほか、新任の担当者へのスムーズな引き継ぎや判断ミスによる障害を防ぐことにも繋がります。
また、複数人で手順を精査することで、より効率的で安全な作業手順に改善されます。 - 作業スケジュールを作成する
サーバーやネットワーク機器のメンテナンスは、冗長構成などの対策を取っていなければ基本的にサービスの停止を伴います。
業務への影響が大きいため、作業スケジュールを作成し全従業員への周知を徹底しましょう。機器のリプレイスや大規模なメンテナンスの場合は専用のスケジュールを作成し、OSアップデートやパッチ適用などの定期メンテナンスの場合は年間スケジュールのように長期的なスケジュールを作成しましょう。
サービス利用者側にメンテナンス日程を認識してもらえれば、それを意識した業務スケジュールを立てることができます。また、定期メンテナンスを行うタイミングを作ることで、緊急ではない設定変更作業なども行いやすくなります。
- 作業を実施する
機器管理台帳をもとに対象機器を選定し、スケジュールに沿って手順通りの作業を実施します。
全てが想定通りに進むのがベストですが、メンテナンス時は想定外の事態が起こることも珍しくありません。
もし事前に準備したスケジュールや手順と実際の作業に乖離があった場合は、セキュリティポリシーのPDCAサイクルに従い、改善を怠らないようにしましょう。
従業員が利用するパソコンやモバイル端末の管理
従業員が業務で使用する個人用端末の最新化も、漏れなく実施しましょう。これらの端末を踏み台にしてマルウェアなどのサイバー攻撃を受けると、セキュリティ対策ツールでは検知できない経路による情報漏洩が起こる可能性があります。
特別なツールやサービスを利用せずに、端末を最新に保つ運用例を紹介します。
健全な従業員端末を維持・管理するポイント
- 端末管理の手順書を作成する
従業員へ貸与している端末やBYOD端末は、基本的な管理を従業員に委ねることになります。
端末を安全に利用するために必要なOSのアップデートやセキュリティ対策ツールの更新は手順化し、従業員がいつでも確認できる状態にしましょう。 - 従業員への教育を実施する
手順書を配布していたとしても、従業員が必要性を理解していなければ作業を後回しにしてしまう可能性が高くなります。
従業員に対してITリテラシー教育を実施し、適切な端末管理の必要性や考え方を理解してもらう必要があります。 - 必要なアップデートは組織で把握し、従業員へ通知する
複数の端末やソフトウェアを利用していると、適用が必要なアップデートの数が多くなり従業員個人では把握することが困難になります。
対応を漏れなく実施するためには、管理部門や情シス部門で端末やソフトウェアの更新をチェックし、対応が必要なタイミングで全従業員へ対応指示を出すことが望ましいです。
サービスや製品の適切な活用
多くのサービスや製品は、利用者の利便性向上を目的として機能設定を変更することができます。しかし、組織の意図と反する設定値が有効化されていると思わぬ事故に繋がる危険性が高まります。
特に一時的な対応のために変更した設定値の戻し忘れや、初期設定から変更を行っていない項目は注意が必要です。利用しているサービスや製品は一元管理し、併せて設定表を作成することで多くの漏れを防止することが可能です。設定変更が必要な場合は、設定変更から設定戻しまでを一連の作業として可能な限り手順化しましょう。
健全なシステム環境を維持するには、自組織に必要な対応を把握し、滞りなく作業を実施するための準備が大切です。場当たり的な対応にならないよう、余裕を持って運用方法の検討を行いましょう。
また、資産管理ツールを活用することで、機器の一元管理やアップデートを管理者側で強制することも可能になります。適宜検討してみてください。
運用の健全化
情報漏洩を起こさない安全な業務遂行のためには、組織の運用を見直すことも大切です。
運用が煩雑化してしまうと、業務上のリスクを正しく把握できなくなってしまうだけではなく、ミスによるセキュリティインシデントの発生率も上昇してしまいます。
それぞれの業務に応じて適切な運用を検討する必要がありますが、多くの業種で実施しやすい運用例を紹介します。
アカウントの作成や変更に伴う業務フローの制定
端末やシステムへのログインアカウント、オフィスへの入室権限などは適切に管理する必要があります。アカウントに関連する作業を行う際は、複数人が作業に関わるように業務フローを作成することが望ましいです。
従業員の入社・退職はもちろん、人事による権限変更や社外要員の受け入れなど、アカウントに関する作業を行う機会は多くあります。
定型的な業務フローを作成することで、ミスや作業漏れを防止することができます。
デバイス管理
組織が許可していないデバイスを自由に利用できる環境は、セキュリティリスクを大きく増加させます。職種によっては、業務を行う上でUSBメモリなどの記憶媒体にデータを保管する機会は0ではありません。
しかし、担当者の判断で私物のデバイスを利用できるような運用はデバイス紛失時の情報漏洩に繋がるほか、内部不正による情報漏洩も行える非常に危険な状態と言えます。
許可されたデバイス以外の利用を禁止するルールを制定し、必要な場合は組織が管理しているデバイスを貸与する等の方法を検討しましょう。
本来であれば資産管理ツールを活用し、システム的に未許可のデバイスを利用できない環境を構築することが理想です。
ツールを使えば、利用禁止だけではなく責任者の設定や読み取り専用設定など、セキュリティと利便性の両立を実現できるため、必要に応じて検討するとよいでしょう。
ログ管理
情報漏洩が発生してしまった場合、原因究明や状況調査は必須です。
また、日常的にログのモニタリングを行うことは、情報漏洩の予兆や危険な操作を発見し、未然に防止することにも繋がります。
管理するべきログは、「クライアントログ」と「システムログ」の2種類に分けることができ、それぞれ以下で解説します。
クライアントログ
組織の管理下にあるパソコンやスマートフォンなど従業員が操作する端末のログを指します。
クライアントログを収集・監視することで、不正な操作を発見して是正できるほか、万が一マルウェア感染や踏み台化などの攻撃を受けたときに状況を把握しやすくなります。OSの標準機能でも端末上のログは出力できますが、セキュリティ対策として活用するには不十分であるケースが多いです。資産管理ツールを導入することで、詳細なログの収集やログ検索機能を使えるようになります。
安全な運用と万が一の対策を両立できるので、資産管理ツールの導入を検討してみてはいかがでしょうか。
システムログ
組織が使用しているサーバーやネットワーク機器のログを指します。
システムのクラウド化が進んでいるため、すでにクラウド移行が完了している組織ではクラウドサービス上のログと捉えてもよいでしょう。
システムログはシステムの障害対策や予兆検知にも活用されますが、外部からの攻撃やマルウェア被害を受けたときにも重要な役割を持ちます。
攻撃者やマルウェアがどのような経路で侵入し、どの情報へアクセスしたのかなど、原因究明や状況調査を行うためにはシステムログを参照する必要があるためです。
複数の機器で構成されるシステムのログは「シスログサーバー」と呼ばれるログ管理サーバーに集約するのが一般的です。
ログは機器ごとに出力されているため、それぞれで確認できますが、ログの調査には複数機器の通信経路や処理内容を把握する必要があります。
調査対象のログが機器ごとに分散していると、その調査が行いにくくなり正確な状況把握の妨げになってしまうのです。
運用ルールは実務への影響が大きく、厳格さと利便性のバランスを考慮することが大切です。そのため、業務状況を鑑みて細かな改善を何度も行い、自組織にマッチした方法を模索する必要があります。
企業活動をする上で情報漏洩対策は必須
セキュリティ意識が高まっている現代では、情報漏洩対策は組織の責任であると言っても過言ではない世の中になっています。
情報漏洩のリスクを0にすることは困難ですが、今回紹介したような基本的な情報漏洩対策を丁寧に実践することで組織のセキュリティ環境は大きく向上します。
資産管理ツールを導入することで、基本的な情報漏洩対策を実現することが可能です。エムオーテックスでは組織のIT資産を一括管理する「LANSCOPE」を提供しています。資産管理以外にも外部・内部脅威への対策や、脆弱性対策も可能です。組織のセキュリティ環境向上のために、ぜひお役立てください。
“ChatGPT”の社内利用ルール、どう決める?
【AIサービス利用ガイドライン】を公開!
MOTEXが社内向けに作成したAIサービス利用ガイドラインをダウンロードできます。利用方針の決め方、作成ポイントの解説付き!
関連する記事
