IT資産管理

2017.12.13（更新日）

Cat Ver.9.0 リリース特集②

Written by 北村和久

経営企画本部所属、MOTEX-CSIRTメンバー、LanScopeCatのプロダクトマネージャー。入社以来LanScopeCatの開発に14年携わり、2015年にプロダクトマネージャーに。製品がどこに向かうかの企画立案と、社内外へのコンセプト発信に奮闘の日々。

統合型エンドポイントマネジメント
?シンプルなログ活用?新機能「カスタムアラーム」～

内部不正対策の１シーン・・本当に問題である行動だけをピックアップする「カスタムアラーム」

LanScope Catの各種ログは、ポリシーを定めることでアラーム（問題行動）を抽出できます。しかし、1つのログだけでは問題であるかどうか確定しないのが現実です。
例えば、USBメモリなどの外部デバイスにファイルをコピーしたことをアラームとした場合、情報が持ち出されることを把握できるものの、その量は日々確認できるものではないケースがほとんどです。

そこで、新機能のカスタムアラームでは、複数の行動を元に判定を行うことで、本当に問題である行動のみをアラームにすることを可能としています。先の例では、ファイルサーバーの重要なファイルが、いくつかの経路を経て、外部デバイスにコピーされた場合のみをアラームにする、といったことができるのです。

エンドポイントでリアルタイムに判定

複数の行動を元に問題行動を特定する。これは収集したログを解析することでも可能です。しかしこれは後追いの対策であり、LanScope Catで提案する”日々の問題行動の現状把握”からはほど遠くなります。

カスタムアラームの価値は、後追いではなく、今の状況をエンドポイントでリアルタイムに判定できることにあります。LanScope Catの管理者や事業部門の責任者はすぐに問題行動を知ることができます。また、エンドポイントで判定するからこそ、端末使用者のPCに注意喚起のポップアップを表示することもでき、教育効果、抑止効果を生むことができるのです。これは後追いの対策では実現できません。

ログが見える、ログを見せない

セキュリティ運用で目指すべきは、情報システム部門だけでなく、各事業部門ごとに問題行動を捉えて是正していく運用です。その際に気を配りたいのが、問題行動とは関係の無い行動を見せない運用です。情報システム部門はすべてのログを閲覧できることが必要ですが、各事業部門では関連しないログまで見えてしまうことが躊躇されます。そこで、どこまでログを確認できるのか、レベルを設定できるようにしました。

Ver.9.0ではすべてのログについて、経営層には問題行動の数のみ、事業部門ではアラームの内容まで、情報システム部門ではすべてのログを、と3段階の閲覧レベルを設定することを可能にしています。

情報漏えいの検知だけではない、カスタムアラームの利用方法

例えば、社員は毎日勤怠システムにアクセスする必要がある場合、10時までに勤怠システムに”アクセスしていない”ということをアラームとすることができます。情報システム部門、または総務部門は注意喚起の必要がなくなり業務効率も上がります。他には、ファイルサーバーの個人領域は1GBまでといったルールを設定している場合、その個人領域に多数のファイルをコピーして1GBを超えればアラームとすることで、ルール違反を察知することができるのです。

このようなカスタムアラームは、お客様自身がアラームを組み合わせることができるだけでなく、初めてのかたでもご利用いただけるように、テンプレートをご用意しました。

次ページからVer.9.0で実現したカスタムアラームテンプレートをすべてご紹介します。工夫次第では、記載以外の目的にも利用することができます。

お客様とともに”運用”を高めていく

より高い品質と価値をご提供するのはメーカーとしての使命ですが、お客様のアイデアやお声をいただくことで、製品を高めていければと考えております。カスタムアラームの良い活用例があれば是非フィードバックをいただき、他のお客様にも運用例をご紹介させていただきたいです。また、お客様の運用・ご要望をヒアリングし、現在のテンプレートでは実現できないことは、新たなテンプレートを開発してご提供することも予定しています。

LanScope Cat Ver.9.0のカスタムアラームは大きく「情報漏えい対策を目的とするもの」「ルール違反の把握を目的とするもの」「労務管理を目的とするもの」の３つに分かれています。

◆ 情報漏えい対策アラーム

まずは、情報漏えい対策を目的とするカスタムアラームを紹介いたします。
このカスタムアラームは、企業内の持ち出されては困る重要なファイルの持出しを素早く察知することを目的としています。持出しが行われた瞬間に管理者への通知を行う事はもちろん、持出し操作を行った利用者に対して、アラームポップアップで通知することで意図せぬ持出しへの気づきや悪意がある場合でも見られているという事が抑止へつながります。

カスタムアラーム_情報漏えい対策

◆ ルール違反アラーム

続いて二つ目の「ルール違反の把握を目的とする」カスタムアラームをご紹介します。
有名なハインリッヒの法則では、一つの重大な事故の陰には、29件の軽微な事故と300件のヒヤリ・ハット（ニアミス）が存在すると言われています。企業の中の重大なIT事故を防ぐためにも、小さなルール違反を早期に捉え、その場で教育や対策を行っていくことが重要になります。

このカスタムアラームでは、フリーメールの私用利用やウイルス対策ソフトの停止など、場合によって重大事故につながるような行動を察知し、管理者と利用者に通知することで未然に事故を防ぎます。

カスタムアラーム_ルール違反

◆ 労務管理アラーム

最後に「労務管理を目的とする」カスタムアラームをご紹介します。
このカスタムアラームでは労働時間や業務を行う中で活用するアプリケーションやパソコンをより効果的に活用する為の気付きを通知することを目的としています。例えば、低スペックのパソコンを利用することで業務効率が低下しているが、そのことに本人や部門の上司、情報システム部門も気づいていない場合や、気づいているが客観的にそれを証明する方法が無く、そのまま利用しているがために業務効率が落ちている状態を知ることができます。

カスタムアラーム_労務管理

本誌でも紹介していますが、国をあげての「働き方改革推進」によりその対応が各企業に求められています。その対応の第一歩として、LanScope Catのカスタムアラームを活用し、業務実態の把握や残業時間の削減など取り組みを始めてみてはいかがでしょうか。