中堅中小企業のセキュリティ対策実践ガイド(2/3)

ありがとうございます！
いいね！した記事一覧をみる

会員になると、いいね！でマイページに保存できます。

中堅中小企業・ベンチャー

|

タグをもっとみる

「性弱説」、つい出来心で…

　実際に実施されているセキュリティ対策を見てみると、入退室管理策、不正アクセス対策、ウイルス対策など、それらは外部からの脅威を意識した内容となっており、内部犯行に目を向けた対策まで行き届いていないことが多い。

　そのような場合、「当社の従業員は、お互いに気心の知れた仲間で、不正を働くものなどはいません。」などとして、従業員の不正行為には目が向けられていないことを正当化するがごとくのお話をされる方が実に多い。

　確かに、従業員が不正行為を起こしかねないことを前提とした対策には抵抗があるだろうが、その重要性を認識しているならば、それは、ただの言い訳である。

　いずれにしろ、皆がそのように考えるとなれば、内部犯行は一向に減らないことになる。

　内部犯行に対するセキュリティ対策については、「性善説」と「性悪説」を並べて語ることもあるが、最近は、『人の心は弱いもの。何らかの脅迫的要素から、つい出来心で不正に手をつけてしまうことがある。』という「性弱説」という概念を持ち出し、“大切な従業員を不正に走らせてはならない。”との観点で対策を講じるべきである。とする考えが広がっている。

　気心の知れた仲間なら、なおさら、仲間が、出来心によって人生を棒に振ることがないように、また、それによって、会社や他の従業員が大きな損害や迷惑を被り、互いが悲しむことのないようにと考えてみてはどうだろう。

ログによる抑止力

　さて、内部犯行対策を講じろとは言うものの、実は、具体的な内部犯行対策は難しいものと言われている。

　そんな中で、内部犯行を思い留まらせる抑止力の効果が期待できるとして「コンピュータ・フォレンジック」が注目されている。「フォレンジック」とは、「科学的捜査」を意味し、何らかの事故があった場合などに、パソコンやサーバ、記録媒体などを分析調査し、事件解明に必要な科学的証拠を収集することをいう。

　簡単に言ってしまえば、「不正をはたらいても、後でバレますよ。」として不正な行為を思い留まらせるのである。

　具体的には、サーバーへのアクセスログの取得や入退室記録、メールの送受信データの監視、更には、モニタによる監視記録なども含まれる。

　つまり、如何にログ（記録）を取得し、管理するかが、重要な要素となってくる。

　実は、実施すべきセキュリティ対策というのは、一般に実施するセキュリティ対策とは大きく変わらないことにも注目したい。ただ、内部犯行対策の重要性を意識することで、講じるセキュリティ対策の弱点が明らかとなり、一段高いレベルのセキュリティ対策が可能になるのだ。

アクセスログを管理しよう

　ログ（記録）による抑止効果を期待するには、当然に、適切なログを残すことが要求される。例えば、重要な情報については、誰が、何時、どの様な作業をしたかについて記録しておかなければならない。

　実は、“ログ”は、日常利用しているパソコン上でも様々な形で残されており、例えば、Windows系OSではイベントログ、UnixやLinuxなどのOSではsyslog（シスログ）がある。ついでに言えば、Webブラウザの履歴もログであるし、ウイルス対策ソフトでもウイルス駆除などのログが残されている。

　たとえば、Windowsのイベントログを、標準のシステムツールである「イベントビューア」で点検すれば、特別なツールを導入しなくとも、ある程度の情報を得ることは可能である。しかし、正直言って、相当の知識を持っていなければ、その内容を理解することは難しい。（図3）

図3：Windows XPのイベント・ビューア

　それでも、万一の場合は専門家に「コンピュータ・フォレンジック」を依頼することで解析は可能であるから、これをもって“ログを取得している”と宣言することは可能であり、少なからず抑止効果が期待できるかもしれない。

　とはいえ、いざログを点検したいとなった時に、迅速に必要な情報を探し出すことができず、また、不正が顕在化しなければ点検も行われないとなれば、抑止力としての効果は低下してしまう。少なくとも、内部関係者であれば、自社がどのようなレベルにあるかについて知ることは容易であり、内部犯行対策の観点からは、これで充分だとは言い難い。

　そこで、個人情報保護法の施行以来、個人情報を保護するとの観点から、重要な電子ファイルを監視するツールが、“ログ収集ツール”、“アクセス監視ツール”などとして各社より発表されているので検討されてはいかがだろうか。

　一般に、ファイルの閲覧、コピー、編集、削除などの履歴を管理し、また、ファイルごとに設定した利用権者やその権限（閲覧・編集・削除の可否等）に反する行為を検知する機能を備え、他のパソコンやFD、CD-ROM、USBメモリ等の外付け記憶媒体への転送やコピーを制限する機能などを有するものもある。また、万一の流出時の悪用を防止するために、保存データを自動的に暗号化処理して管理する製品もある。

　こうした製品は、一般に、サーバーとクライアントにそれぞれ必要なソフトをインストールし、サーバーで一元的に監視する構成が多く、対象規模にもよるが、数十万円からの構成となっている。

　もし、これによって数千名に謝罪文を送付しなければならないような事故を防止できるのであれば安い投資である。