Enterprise Watch
最新ニュース

「rootで何でもできるのが危険」CAが提唱する内部セキュリティ対策


 個人情報保護法が施行される2005年4月1日まで、あと1年3カ月あまりに迫っている。最近、有名企業による個人情報流出事件のニュースを耳にすることが多いが、これが施行されると、事件を起こした企業は民事だけでなく刑事罰の対象となり、受ける被害は計り知れない。


営業・マーケティング統括本部マーケティング部eTrustブランドマネージャー 坂本健太郎氏
 ウイルスや不正侵入などに対する外部セキュリティ対策と共に、情報漏えいに対する内部セキュリティ対策に取り組んでいるコンピュータ・アソシエイツ株式会社(以下CA)は12月11日、同社の取り組みについてのセミナーを開き、営業・マーケティング統括本部マーケティング部eTrustブランドマネージャーの坂本健太郎氏が、過去に起こった情報漏えい事件が企業に与えた影響とその原因、それらに対して同社が提供する対策について説明した。


情報漏えいはrootの使い回しから

 個人情報漏えい事件を引き起こした場合、どれだけの被害を受けるのだろうか。企業ではないが、この種の事件でよく例に出される1999年5月に発生した京都府宇治市の住民基本台帳掲載情報漏えい事件の判例によると、原告一人あたり15,000円の請求が認められた。漏えいしたのは約22万人の名前、住所、電話番号などの基本的情報で、もし全員から訴えられると単純計算で33億円の支払いが命じられることになる。また、某人材派遣会社の登録データが約9万件流出したケースでは、基本情報のほかに携帯電話の番号や美人度ランキングなど、よりプライベートな情報が名簿業者などに数十セット流れ、回収が不可能となった。支払金額はまだ決定してないが、弁護士によると「一人あたり15万円から20万円になると」と予想されているという。「事件が明るみに出て損なわれるイメージや株価への影響も合わせると、大手企業でも経営が傾くことさえ考えられる」(坂本氏)


宇治市の情報漏えい事件の例 個人情報保護法の主なポイント

 これらを含めた情報漏えい事件でよく共通する原因が、外部委託先など管理者の目の届きにくいところから情報が持ち出されることだ。坂本氏によると、管理者対する管理対象の過多や管理効率の悪化により、オペレーターが上位の権限を利用されたり、管理者ではない複数の人間がroot権限を使い回すというケースもあるという。root権限が与えられるとシステムのあらゆる情報にアクセスでき、機密情報の持ち出しも容易だ。そして坂本氏がさらなる問題として指摘するのが「誰がroot権限でアクセスしているのかわからないこと」である。通常のシステムでは、誰がどこからrootで操作しているのかログから追跡することができない。

 情報漏えい事件はこのような背景から引き起こされる。個人情報保護法では企業に対して従業員や委託先の監督が義務づけられており、たとえ孫請けの会社から漏えいが発生しても責任を問われるのは必至だ。では、企業はどのような対策をすればいいのだろうか?


OS標準を超えるセキュリティ3Aが必要とされる

 内部情報対策のキーワードとして挙げられるのが「セキュリティ3A」だ。3Aとは、「ユーザーは誰なのかを特定する(Authentication:認証)」「ユーザーへ適切なアクセス権を設定する(Authorization:許可)」「ルール設定の管理運用(Administration:管理)」を指す。これらを実現する製品を「セキュリティ3A」と呼ぶ。


CAが提唱する対策のポイント
 坂本氏はこれに沿った対策のポイントとして(1)各ユーザーへ付与する権限を徹底させ、OS標準の機能以上に厳密な管理を行う「職務に応じたシステム権限の付与」(2)情報へのアクセスログ管理機能を拡張し、どのユーザーからの、どの情報へのアクセスでも追跡可能な体制にする「追跡可能な監査」(3)効率的なユーザー管理を行う「設定・監査 一元管理」を挙げ、同社のセキュリティ3Aソフト「eTrust Access Control」を使った内部セキュリティ対策を提案する。


 権限の問題は、本来システム管理者以外の利用が許されないroot権限などが、パスワードさえ分かれば誰でもどこからでも利用でき、管理の行き届かないところから重要情報にたどり着けてしまうことだ。そこでeTrust Access Controlは、OSに依存しない独自のアクセス条件を設けて制御を行う。例えば、root権限があっても指定の端末から、指定のアプリケーションからでないと機密情報にアクセスできなくしてしまうことも可能だ。

 アクセスログについてもOSのログ機能を拡張し、「どのシステムリソースに対して(What)、いつ(When)、誰が(Who)、どの端末から(Where)、どのプログラムを使用して(How)アクセスしたか厳密に残すことが可能とする」(坂本氏)。例えばsu(スイッチ)コマンドを使って誰がroot権限を取得したか、どの端末からアクセスしたかなど、より詳細に記録され、より正確な追跡を可能とする。

 ユーザー管理は、設定したポリシーを一括配布し親マシンで設定したルールを子マシンにも適用する。また、各リソースのログをプラットホームを越えて集中管理する。従来個別に行われていた設定や監査を集中することにより、管理を効率化し適用範囲を広げることができる。


独自のアクセス条件の例 より明確な追跡が可能なログの記録 アクセス権限の一括管理

2004年はセキュリティ3A製品の需要が高まる

日本のセキュリティ市場の実績と予想
 このように、外部セキュリティの強化にさまざまな手段が用いられている中、内部セキュリティ対策にも標準以上の機能が必要とされている。坂本氏は「eTrust Access Controlにより、各ユーザーの職務に即したシステム権限を与えることができ、常に監視、追跡されているという意識を持たせることにより、漏えいの抑止効果も期待できる」とし、対策の必要性を訴えた。

 eTrust Access Controlは金融機関やISPなど、情報の厳密な管理が求められている企業でも利用されている。同社は、個人情報保護法の施行を目前にし相次ぐ事件によって内部セキュリティに対する意識が広まる2004年は、セキュリティ3A製品の需要がさらに高まると予想している。



URL
  コンピュータ・アソシエイツ株式会社
  http://www.caj.co.jp/
  eTrust Access Controlの情報
  http://www.caj.co.jp/solutions/enterprise/etrust/access_control/

関連記事
  ・ 牧野弁護士「人間系のセキュリティ対策が重要」(2003/10/23)
  ・ 慶應大 武藤教授、「インターネットへの意識転換が必要」(2003/10/31)
  ・ NECシステムテクノロジー島津氏「個人情報保護法施行までの1年半で対策を」(2003/12/08)


( 朝夷 剛士 )
2003/12/12 12:33

Enterprise Watch ホームページ
Copyright (c) 2003 Impress Corporation All rights reserved.