この動画は、無料公開期間を経た後、メンバーシップ限定動画になります。動画見放題のメンバーシップ(月額990円)を是非ご利用ください。
情報セキュリティの脅威の中でも、内部犯行は最も防ぎにくく、見つけにくい脅威の一つです。これを防ぐには、地道な人的対策をしていくしかありません。
内部犯行を防ぐには、次のような状況を作り出すことにあります。
- 犯行がやりにくい
- 犯行が見つかる
- 犯行が割に合わない
- 犯行を起こす気にならない
これらを実現するためには、次のような対策を行っていきます。
人的対策の種類
ログの収集
外部からの攻撃等のログはもちろん、内部の人間の行動も必要に応じてログに記録しておく必要があります。主に次のようなサーバーの行動はログに残しておくべきでしょう。
- アクセスサーバー
- ファイアウォール
- IDS
- メールサーバー
- Webサーバー
ログの監査
ログを単に残しておくだけではなく、定期的に確認をして評価する必要があります。そのための「監査基準」を定めておくと良いでしょう。
また、ログの元データを見ても、なかなか傾向がつかめないため、グラフ化したり、異常な動きのあるログを自動的に通知するなど、ミスや犯行に気がつきやすい状況にすることも重要です。
入退室管理
社内に外部の人間を入れないようにするのはもちろん、内部の人間であっても必要な場所以外の入室を禁止したり、入室できる場合でも入退室の記録を残しておきます。
また、IDカードを人に貸したり、共連れ(1枚のIDカードで2人以上の人間が出入りすること)を防ぐために、警備員を配備したり、入退室ゲートのチェックを厳しくするなどの対処も必要です。このような対処を「アンチパスバック」と言います。
アカウント管理
ネットワーク上のシステムなどを利用する場合も、アカウント管理を厳密に行います。特に、アクセス権限の範囲を各社員の職域ごとに設定をしたり、退職した社員のアカウントを確実に削除するなど、日々のメンテナンスが重要です。
アカウント管理の原則は「最小権限の原則」が基本となります。つまり、「念のため」などで広い範囲を権限を与えるのではなく、すべてを禁止した後で必要最低限の権限から付与していくという考え方です。
セキュリティ教育
情報セキュリティは、各社員の知識と意識を高め、全員がセキュリティ意識を持つことが大切です。
新入社員研修の時はもちろん、新システムの導入時や定期的なセキュリティポリシーの見直しのタイミングなどで、社員にセキュリティ教育を施していくと良いでしょう。
教育手法
教育の方法には、全社員を集めての研修形式はもちろんですが、各社員が必要に応じて用意されたコースからピックアップする「カフェテリア方式」や、与えられた課題を受講者自身が解決策を導いていく「PBL(Project Based Learning)」といった方法もあります。
さらに例えば、セキュリティ担当者などへの教育の場合は、攻撃側と防御側に分かれて、実践演習を交えた研修を行う「サイバーレンジトレーニング」と言った手法や、さらに実践的な攻撃を防御する演習である「レッドチーム演習」などの本格的な研修プログラムもあります。
