情報漏えい事件発生時に原因究明を行うということは、確かにそれ自体重要な目的ではあるものの果たして情報漏えいのリスクを軽減するものでしょうか?「情報漏えいを行った犯人が特定できるので悪意のある情報漏えいが行われなくなるではないか」という声が聞こえてきそうですね。もちろんある程度の効果は期待できると思います。しかし、私はそれだけではあまり効果がないと考えています。なぜならば、人というのはすぐに物事を忘れてしまうからです。導入当初は緊張感も生まれるでしょう。しかし、ユーザはすぐにその緊張感を忘れてしまうのです。
では、私はそのようにすればより効率的に情報漏えいのリスクを軽減することができるのかと考えていますと、それは「ユーザに対して定期的にフィードバックを行う」ということです。つまり、ただクライアントの操作記録を保存しておくのではなく収集したログを定期的に分析し、情報漏えいやその他のセキュリティ事件に発展しそうな操作を行っているユーザに対して注意等を行う必要があります。
また機会がありましたら書こうと思っているのですが、私はセキュリティに関して最も考慮しなければならないことというのは、従業員のセキュリティに対する意識だと思っています。では、このセキュリティに対する意識というものを向上させるにはどうしたらよいのか?もちろんセキュリティに対する教育という手段も、とても有効ではあります。しかし、私はまずはセキュリティに対して高い意識を持つことができる環境作りが必要であると思います。例え話になりますが、元ニューヨーク市長であったジュリアーニ氏は、検事出身ということもあり犯罪対策に非常に熱心でした。彼はニューヨークの犯罪を減らすために様々な対策を行いました。その1つに通りや地下鉄の落書きを消すというものがあります。これは、犯罪が起こらない雰囲気を作るという目的があって行われたのですが、非常に効果があったといわれています。私はセキュリティ対策というのもこれと同じことで、まずセキュリティに対する高い意識を持てる雰囲気を生み出すことが重要であると考えています。
定期的に収集したログの分析を行い社内セキュリティの現状を把握し、社内のセキュリティのリスクになりそうなユーザの行為には注意を促し、時には現状のシステム・ネットワークの運用をも見直す。そうやって常により上のセキュリティレベルを目指す環境づくりが必要であると思います。(これはいわゆるPDCAサイクルいうやつです。)こういったことを継続的に行い、「うちの会社はセキュリティに本気で取り組んでいるんだ」とユーザに思わせることができて初めて、ユーザのセキュリティに対する意識が変わるのではないかと思います。
ここまで、「ユーザのパソコン利用状況の監視」、そして「ユーザへのフィードバック」について、まるで一般的にはあまり取り組まれていないかのごとく書いてきましたが、実際はそんなことはありません。例えばLan Scopeはユーザのパソコン利用の分析などに力を入れた製品になっています。また、今まではただ操作ログを採取するだけだった製品も、最近は分析、解析に力を入れ始めています。
さて、ここまで私が述べてきたことを踏まえてクライアントの収集ツールを購入する際の、私の考える注意事項を述べておきます。それは、その製品がどのようなログを採取できるのかということだけでなく、特に以下の3点を十分に考慮していただきたいということです。
- 収集したログをどのくらい保存できるのか、また形式は何か
- 収集したログを解析する方法はあるか、またどのような方法か
- 収集したログを分析する方法はあるか、またどのような方法か
当たり前の話ではあるのですが、どの製品にも長所、短所があります。こういった製品を導入する際は必要な要件をしっかりと固め、導入を行っていただきたいと思います。そしてまた、導入を行った場合はフルにその製品を活用してください。
次回はこのシリーズの最終回ということで、操作ログ採取ツールたちが今後どうなっていくのかについて私の予想を述べたいと思います。
0 件のコメント:
コメントを投稿