オルタナティブ・ブログ > 無事今日も終了です >

とてもマニアックな話を交えながら、雑多な話でお寛ぎください。

情報セキュリティの話 その2 ベネッセへの対策

»

どのような対策がなされていなければならなかったか、を考えてみます。

①特権ID管理

特権ID利用者が使っていない日、時間での特権IDを削除する。
つまり、保守作業なり開発作業なりをする人には、その都度特権IDを発行し、作業申請していないのに特権IDが使われる事を防ぐ。

②USBメモリの利用を制限する(読み込みのみとする)
サーバの管理の場合、インターネットへの接続は、まず無理です。それでも必要な情報をサーバに入れるためには、USBメモリが便利ですが、それはあくまでも入れるだけ。外部にサーバからデータを持ち出す必要は通常ありません。 

③その1で述べたような証跡が必ず残るようにして、犯罪者への抑止とする
犯罪者の心理に対応し、証拠が必ずのこり、犯罪が発覚することから、犯罪の発生を未然に防ぐ。

詳しく説明すると、
①の特権ID管理は、特権IDの性質上、発行特権IDからの特権ID発行(孫IDの作成)を防ぐ必要があることと、実際に使われているIDをリアルタイムで把握、申請以外での利用に対しては切断、といろいろな機能が必要になります。
中々、良い対策製品が見つからないと思いますが、人海戦術では、どうしても限界があります。

②のUDBメモリの制限機能ですが、この部分は、①と関連があります。きっとベネッセ社でも通常は制限が掛かっているけれど、特権IDなので利用を許してしまっていたと思われます。要件から、USBは特権IDに関わらず、読み込みしかできないという設定を導入していれば良かったのです。

③が最も重要で、犯罪という行為そのものをなくす効果があります。その1で説明しました。

実は、ベネッセの事件は、①②③のどれかがちゃんと機能していたら、発生しておりません。
きっとベネッセ社では、さまざまなセキュリティ製品が導入されていたのでしょう。
それでも実際は、全く役に立たなかったわけです。
もう少し突っ込む話をすると、多少の苦労にはなりますが、人手で対応する方策もできたはずです。
何故、それが出来なかったかというと、従来導入されているセキュリティ製品の性能を疑わず、安心してセキュリティの見直しをしていなかったからです。

①特権IDは、管理しているがあくまでも発行段階までで、どの後の利用状況とかの把握はしていなかったと思われます。

②USBメモリの制御はしていたと思われますが、単なる利用できる出来ないだけなので、①と相まって制御していると①の特権IDが利用できれば、USBメモリからの情報流出という簡単な手法が出来てしまいます。

③そして何より、証拠が残らない、または、残ったとしてもそれで犯罪と判断が出来ないぐらいの証拠しか残らないレベルだったということです。
性善説がまかり通る従来までの考え方では、もう駄目なのです。性悪説に則って、どのような悪意のある行為でもちゃんと証拠として残る方法が必要です。

要件として、①②③のすべてを満たす製品というのは、中々無かったり、表面上のスペックとしては有っても、実際の運用には無理があるものがほとんどです。

②③に関しては、最善の製品を用意しておりますが、①についても新製品を導入いたします。近々に公開できると思います。現在最終調整の真っ最中です。

機能としては、エージェントレス、対応OSを問わない、孫ID作成を阻止、ログオン中でも時間制限で強制切断、と必要な機能だけをまとめた製品となっております。

他社からも有効な製品があると思います。
この機会に是非ご検討ください。情報漏えいしてから対策したのでは、遅いということをご確認ください。


今日はここまで、またいつかお会いしましょう!

Comment(4)