株式会社インテリジェント　ウェイブ
代表取締役　副社長執行役員　セキュリティシステム事業部長
青木　修様

【Profile】
1958年10月生まれ。1985年　インテリジェント　ウェイブ入社。取締役オープンシステム事業部副事業部長、取締役　常務執行役員　セキュリティシステム事業部長を経て2005年2月より現職。

これまで企業におけるセキュリティ対策の中心は、もっぱらシステムのセキュリティを上げ、外部からの侵入を防ぐことが中心でした。しかし、近年問題となっている情報漏洩事件についてみてみると、「不正な情報持ち出し」といった内的要因が10％あり、こうした内からの攻撃に以下に備えるかが大きな課題となっています。
さらに、内的要因には悪意によるものよりも誤操作や管理ミス、置き忘れといった過失によって生じる場合が大半を占めているため、情報漏洩を防ぐにはシステムだけではなく、情報を取り扱う社員の挙動そのものを含めた管理・監視によって内部統制を行う総合的な情報セキュリティガバナンスが必要になります。

では実際にセキュリティガバナンスをどうやって実行していくかですが、それにはまず情報漏洩というリスクに対し、その被害を軽減するための方策をキーコントロールとして設定します。
キーコントロールにはセキュリティポリシーの設定やアクセス制御等の項目がありますが、これらを具体的にどう設定するかという点についてはPCIDSSの要件7〜12を基準とすることができます。
PCIDSSで求められる要件に準拠する形で導入から運用を図っていくことが必要になります。

そしてPDCAサイクルによるマネジメントを行い、適時整備状況、運用状況を評価するとともに、漏洩等の事故が発生した場合に備え、フォレンッジクが可能なように証跡管理の体制を整えておくことが重要なポイントとなります。

しかしながら、ここで問題となるのはポリシーの強化と利便性、生産性とのバランスをどうとるか、評価および証跡管理に必要なログをどのように管理するかといことです。

当社のCWATは、現場の生産性を低下させないために操作自体を制限するのではなく、情報漏洩につながる可能性のあるさまざまな操作を常時監視し、不正行為発見時には端末の遮断等の対処を即時に行います。
さらには、ポリシー制御による禁止行為の阻止だけでなく、操作者のふるまいから疑わしい操作、不審な操作の検知（特異挙動検知）を行い、未然に情報の流出を阻止します。

また、ログの収集と管理に関しては同じく当社のLOGROWによって散在する膨大なログをセキュリティポリシーに従って活用することが可能です。

最後に当社に寄せられた案件を事例として、実際どのような対策を行っているかをご紹介します。
不正な持ち出しを防ぐためにサーバセキュリティのニーズで最も多いのは、サーバ上からは絶対にファイルを取り出せないようにするというものです。また、単にユーザがファイルを取り出すことを禁止するだけでなく、サーバ上でもコピーを不可能にし、ファイルの更新等もサーバで行い、できる限り不要なデータを作らないようになっています。

次に、アクセス制御サーバを導入して、不正端末をネットワークからシャットダウンするというソリューションがあります。これにより外部からの不正端末によるアクセスを遮断するのはもちろん、私有端末を持ち込み作業したために生じた漏洩についても防御することができます。

私どもインテリジェントウェイブでは、今後も情報セキュリティ統制に化関わる各種セキュリティソリューションを提供してまいります。私どもの製品、ソリューションが漏洩事件減少の一助となれば幸いです。