1. 概要
企業及び機関の個人情報が漏洩される事故が継続的に発生している。 このような 情報漏洩事故は様々な方法を通じて行われるが、特に内部ユーザによる個人情報漏洩事故は発生時に多大な波及効果をもたらしうる。 漏洩事故で漏洩された個人情報が悪用されるだけではなく、当該企業のノウハウがある重要技術が競合企業に漏洩されるなど、被害企業においては大きな金額的な損失をもたらし、企業の競争力にも多大な悪影響をもたらす。
これに対し、企業は内部の情報漏洩を防ぐために守るべきの情報は何かを認知し、重要な情報に強力な保護手段を適用しなければならない。データ量、新データの種類、データ重要度の増加などに関する情報を把握し、リスクや影響分析を実施することにより、何が最も重要であるかを把握することができる。
今回はSPiDER TM V5.0を通じて内部ユーザによる情報漏洩を検知及び対応できる方法について記述する。
2. 不正コード感染及び情報漏洩シナリオ
1)内部ユーザーのウィルス検知アラート登録
不正コードが感染した内部ユーザーのPCワクチンソリューションからは治療不可
ワクチンソリューションから治療不可もしくは、未治療として検知されるユーザーに対してのアラート登録
検知されたユーザーの基準は内部ユーザー(部署ごともしくは、グループごと登録)
2)IPSから不正コード検知アラート登録
IPSから不正コードに感染したPCに対してのシグネチャー検知
IPSからBackdoorシグネチャー検知
検知されたユーザーはワクチンで治療されなかった内部ユーザー
3)内部ユーザーのフィッシングサイトアクセス検知
IPSから不正コード感染PCに対してのシグネチャー検知
1段階 内部ユーザーのウィルス感染
2段階 IPSから不正コード検知
FWからフィッシングサイトへアクセスしたユーザー検知
3. 相関分析ルール登録
1)前述した3つの単一アラートに対して1段階から3段階まで相関分析登録
- 内部ユーザーの中、ウィルス治療ができないユーザーに対してアラート発生
- 1段階ユーザーのIPから不正コード検知(IPS)
- 個人情報漏洩ユーザーIPからフィッシングサイトへのアクセス(ファイアウォール)
4. 結論
SIEMを活用して内部情報漏洩を探知する方法について調べてみた。 内部情報漏洩を防ぐめのソリューションは複数あるが、ソリューションの導入が全ての問題を解決するわけではない。 企業はまず守るべきデータを定義し、そのデータにアクセスできるユーザーを基準としてユーザーごとに詳細権限を付与し、それに応じたセキュリティポリシーを樹立して適用が必要で、それぞれの特性を反映したセキュリティシステムを構築しなければならない。 また、セキュリティポリシーがうまく実施されているか継続的なモニタリング及び徹底的な管理監督が必要である。
こうした管理・監督には多くの時間とスキルを要する。そのため、MSSなどのサービスを利用することでよりセキュリティ性の高い環境を作ることをお勧めする。
