企業向け: ファイル共有ソフトによる情報漏えいの防止策
Active Directory と他の製品で防止する
公開日: 2006年4月19日
情報漏えいによる被害が大きく報道される昨今、事件が明るみに出ることで企業イメージを損ねたり取引先とのトラブルを誘発する恐れなど、ビジネスに対する影響は非常に大きく対策が急務とされています。
しかしながら、情報漏えいに関連する課題は、ウイルスやハッキングに対するものよりも根深く解決が難しいものです。なぜなら、情報を漏洩してしまう経路のほとんどは、人に依存したものが原因となっているからです。
ビジネスに必要な個人情報を含む重要な情報は活用されてこそ真価を発揮します。そのため、活用するには情報にアクセスする事を許さなければなりませんが、これは、アクセスできる全ての人が情報を漏洩してしまう可能性を持っているという事実を理解した上での利用、およびこれらの脅威に立ち向かう対策が必要であることを意味します。
企業において情報漏えい事故に向けた対策を施すには、情報システムの枠だけにとらわれず企業全体を統治する覚悟が必要です。厳格な企業内のルールが存在し、それが全ての組織に関わっている方に理解され浸透されている必要があります。
しばしは、情報の安全を確保するためには、「人」、「プロセス」、「技術」の要素に対して対策が必要と表現されますが、企業内の統治と働く人の意識の在り方については、これまでも皆様が取り組んでいる企業活動そのものであるといえます。そのため、本資料では、三要素のうちの「技術」に注目し、技術を活用することで情報漏えい被害への対策を推進するためのヒントを提供することを目的としています。
1. 社外へデータが流出する原因は?
企業内でファイル共有ソフトが利用されなければ、機密情報の漏えい問題が解決するわけではありません。報道されているように、ほとんどの情報は個人のパソコンから流出しています。そのため、企業内で利用されないようにすることはもちろんですが、機密情報が会社から持ち出されないよう、対策が必要な部分を知る必要があります。
.jpg)
このように、人による意図的な流出を除いても、社外へのデータの持ち出し等、流出原因は複数あるといわれています。
2. Active Directory で対策しよう
機密情報にアクセスできる人を限定することは、対策の第一歩であり、皆さんも何らかの対策をされている思います。 しかしながら、個別に設定/管理していくのには限界があり、また、アクセス制限だけではデータの持ち出しやノート パソコンの持ち込みに対する対策ができません。個人のパソコンの締め出しや、データの持ち出しを制限するためのクライアントの一元管理は、Active Directory 導入によるグループポリシーの適用が最適です。
.jpg)
参考情報: マイクロソフト コストに『差』が出る Windows 環境のセキュリティ管理 - 「知る」
2.1 グループポリシーの設定
2.1.1 ソフトウェアの制限のポリシーを設定すると…
.jpg)
ウィニーなどのファイル共有ソフトや企業内での使用が禁止されているソフトウェアの実行を防止できます。
参考情報: セキュリティ対策の要点解説 第 3 回 そもそもアレの動作を禁止したい ~ Software Restriction Policy ~
2.1.2 リムーバル メディアの使用/書き込みの禁止を設定すると…
.jpg)
情報をメディアにコピーすることができなくなるため、安易に持ち出すことを防げます。 これにより、紛失の恐れや社外のパソコンにデータが残る可能性が減り、流出するリスクも低くなります。 ※ USB バスに接続される記憶メディアの使用/書き込み禁止、CD-R/RW の書き込み禁止、フロッピーディスクや SD カードの使用禁止などが可能です。
参考情報: 情報漏えい対策ガイド (Windows 編)
2.1.3 IPSec ポリシーを設定すると…
.jpg)
IPSec で保護されているネットワークには、管理されていないパソコンから接続することはできません。 そのため、持ち込まれた個人のノートパソコンにデータが残る可能性が減り、盗難/ファイル共有ソフト/ウイルス感染等による流出のリスクも低くなります。
参考情報: IPsec とグループ ポリシーを使用したサーバーおよびドメインの分離
3. Active Directory + 他の製品で対策しよう
3.1 ISA Server 2004 の導入
ISA Server 2004 は、情報漏えいの原因究明と再発防止に有効な製品です。 Active Directory と連携することにより不審なプログラムを使用しているコンピュータやユーザーをすばやく特定することができます。
.jpg)
ISA Server 2004 を導入すると…
.jpg)
万が一の流出時に、「誰が」、「いつ」、「どこに」、「どのプログラムで」通信を行ったかが分かり、原因究明に役立ちます。 また、その後に特定の Web へのアクセスを禁止したりする等の再発防止も可能です。
さらに、プロトコルだけでなくアプリケーション層での制御をすることで…
.jpg)
ファイル共有ソフトなど特定のアプリケーションの通信を止めることができます。 また、外部との通信が監視されていることを周知させることによって、不正な利用の抑止力が高まります。
参考情報: 従来のファイアウォールが抱える 4 つの問題と解決方法
3.2 Rights Management Services (RMS) と Office Professional Edition 2003 の導入
RMS は、アプリケーションと連携して重要な Web コンテンツ、ドキュメント、および電子メールを保護することが可能です。
.jpg)
参考情報: Windows Rights Management Services
RMS と Office Professional Edition 2003 の Information Rights Management (IRM) を連携させると…
.jpg)
このように、Office 文書のコピー/変更/印刷の制限、Outlook 2003 でのメール本文のコピー/印刷/転送を制限することができます。これにより、人による誤操作やミスによる流出のリスクが低くなります。 また、万が一持ち出されたり流出したとしても、その内容は暗号化されており、不特定の第三者から解読される可能性は非常に低くいものになります。
参考情報: Microsoft Office System 企業向け情報 - Information Rights Management
3.3 Microsoft Systems Management Server (SMS) 2003 の導入
Microsoft Systems Management Server (SMS) 2003 は、ハードウェアとソフトウェアのインベントリを収集できるため、点在するクライアントの構成情報を的確に把握できます。
参考情報: Active Directory を導入する 11 の魅力 セキュリティ パッチの自動配布とクライアント コンピュータの集中管理
SMS 2003 を導入すると…
.jpg)
クライアントのハードディスク上に存在する実行ファイル名を検索し、収集することができます。 また、検索するだけなく・・・
.jpg)
稼働していた時間も把握することが可能です。
参考情報: SMS 2003による企業内のファイル交換ソフト、ネットワーク構築・通信ソフトの検出
4. その他の対策方法
上記以外にも、情報の漏えい防止に役立つ機能があります。
4.1 EFS で暗号化
個人が機密データを暗号化ファイルシステム (EFS) で保護することを心掛けることで、ノート PC の紛失/盗難や、万が一の情報流出時に、権限のないユーザーアカウントを使用してファイルを開かれる可能性が非常に低くなります。 また、Active Directory のログオンスクリプトや System Management Server 2003 での展開で、クライアントに EFS を適用することも可能です。
重要: ただし、暗号化したファイルを開くことができるユーザーの権限で動いているウイルスには全く効力がないことに注意してください。その場合ウイルスは、そのユーザーの権限でファイルを復号化し流出させる事ができます。
参考情報: 情報漏えい対策ガイド (Windows 編)
セキュリティ対策の要点解説 第 2 回 もしもの時の暗号化 ~ Encrypted File System (EFS) ~
4.2 コンピュータとウイルス対策ソフトを最新の状態に更新
脆弱性を悪用するウイルスから保護するために、Microsoft Update/Windows Update/自動更新でコンピュータを最新の状態にします。 なお、Windows Server Update Services (WSUS) と Microsoft Baseline Security Analyzer 2.0 との連携や System Management Server 2003 を使用することにより、企業内でのパッチマネジメントが可能となります。
また、ウイルス対策ソフトが最新のウイルス定義ファイルを使い、常にクライアントの監視が行われている状態になっているか確認してください。
5. まとめ
5.1 「技術」 による対策の基本は Active Directory の導入から
上記で紹介したように Active Directory と情報漏えい対策に役立つ製品や技術を活用すると、流出の原因となりうる箇所に対して、「技術」による対策が一元管理で行えるようになります。
.jpg)
これは、マイクロソフト製品の管理の基本が Active Directory を基に成り立っていることを意味しています。Windows を導入している企業内では、機密情報の漏えい防止だけではなく、IT システムに潜むセキュリティの脅威を防ぐためにも、Active Directory を活用し対策されることを推奨します。
| 重要: 上記で紹介している技術は、あくまでも対策方法の一部であることをご理解いただき、他のソリューションによる「技術」での対策も検討してください。 また、この問題は「技術」だけでは防げないものであることを認識いただき、下記の課題にも取り組むことをおすすめします。 |
5.2 「技術」による対策だけでは限界があります
残念ながら、どんなに素晴らしい「技術」を導入しても、「人」および「プロセス」と共に運用されない限り、流出を減らす対策にはなりません。 下図のような「人」への教育や「プロセス」の徹底をどのように行うのか、今一度、企業内で検討されることをお勧めします。
.jpg)