写真提供:マイナビニュース

写真拡大

●大規模流出における外部と内部の関連性
23日、AOSデータとAOSリーガルテック、ラネクシーの共催による情報漏えい対策ソリューションセミナーが開催された。順序が逆になってしまうが、図1を見ていただきたい。最後のセミナーであるフォレンジックサービスの紹介で示された近年の情報漏えい事件である。

いずれもマスコミなどで報道され、覚えておられる方も多いであろう。これらの情報漏えいの原因であるが、以下のような分析がなされている。

●SPE:外部からの直接攻撃
●日本年金機構:外部攻撃+内部者の過失
●ベネッセ:内部者の犯罪

情報漏えいの原因は、内部と外部、さらには両方の組合せがある。つまり、外部からの攻撃のみに対策をするだけでは十分とはいえない。ではそこで、どうすべきか?それが今回のセミナーの目的である。

○今回紹介されたソリューション

セミナーの開会にあたりAOSデータの代表取締役社長 春山洋氏が挨拶を行った。そこでは、今回のセミナーで取り上げるソリューションの紹介があった。非常にわかりやすかったので、簡単に紹介しよう。

まず、マイナンバーファインダーであるがPC上のマイナンバーなどの個人情報を含むファイルを検出することが目的である。日々の業務でPCを使っていると、自然に個人情報が蓄積される。情報漏えいを防ぐには、どこに個人情報を含むファイルが存在しているかを把握することが第一歩となる。そのためのツールが、マイナンバーファインダーである。

MylogStar 3はリアルタイムに、誰が、どのファイルにアクセスしたかのログを保存する。たとえば、マイナンバーファインダーで検出した個人情報を含むファイルを登録し、MylogStar 3でつねに監視を行うことができる。不正な持ち出しがあった場合には、管理者にメールで通知を行うこともできる。

しかし、それでも情報漏えいが発生した場合は、どのようにすべきか。それが、AOSリーガルテックのフォレンジックサービスとなる。春山氏は、情報漏えいの9割は社内からの持ち出しによって発生していると指摘する。情報漏えいの証拠を確保するための手段が、フォレンジックサービスとなる。

以下では、これらのソリューションについて具体的に見ていきたい。

○個人情報が含まれるファイルの検出・削除・暗号化を行うマイナンバーファインダー

次いで登壇したのは、AOSリーガルテックのフォレンジック調査官・別府亮三氏である。マイナンバーファインダーの基本機能であるが、図3のようになる。

これらの機能については、本誌のこちらの記事を参照していただきたい。検査対象となるファイルや検査項目などについても、より詳細に解説している。標準でも、ほとんど個人情報が含まれるファイルの検出が可能であるが、カスタマイズも可能である。たとえば、ファイルや拡張子による追加は、図4のように行う。

また、場合によっては「社外秘」といった文字で検索したいこともあるだろう。

ユーザーパターンを使えば、任意に検査パターンを追加することができる。カスタマイズ以外にもセキュリティ状態の確認や、さまざまなレポート機能も持つ。使用方法としては、定期的にマイナンバーファインダーでチェックを行い、まず、個人情報を含むファイルの有無を確認することだろう。特にマイナンバーに関しては法律により、確実な削除が必要になる。多数のフォレンジック調査を通じて確立した技術により、マイナンバーファインダーではデジタルデータの確実な削除が可能となる。このあたりの機能も活用したい点である。

●IT部門が取り組むべき危機対策-操作ログ管理
○IT部門が取り組むべき危機対策-操作ログ管理

次いで登壇したのは、ラネクシー営業本部ソフトウェアビジネス2部の尾崎裕二氏である。まず、情報漏えいについて2種類を指摘した。不慮の流出と故意の流出である。前者は、ウイルス感染、不正アクセスなどが該当する。後者は、機密情報の持ち出しがある。ここで問題となるのは、持ち出し経路が非常に多岐にわたることである。ネット経由、USBメモリや携帯端末などが多いが、プリンタ出力なども持ち出し方法としては十分考えられる。操作ログ管理は、後者に対し有効な対策となる。図6は、IPAが行った調査結果である。

1位は、社内システムの操作の証拠が残るであった。2位の重要な情報にアクセスした人が監視されると合わせると、かなりの割合となる。そして、これらを可能にするが、操作ログ管理である。ラネクシーのMylogStar 3は、カーネルレベルで操作ログを保存する。

具体的には、エクスプローラでファイル操作ならば、どちらのレベルでもログに記録される。しかし、コマンドプロンプトでcopyコマンドによるファイル操作となると、MylogStar 3でなければログに記録することはできない。MylogStar 3では、PC上で「いつ」「誰が」「どのファイルを」「どこをどうした」が記録される。

このログを残すことで、

・問題発生時の追跡
・不正操作に対する抑止効果
・社内業務状況を分析したリスクへの対応

が可能になる。さらに大きいのは、図6にある抑止効果が期待できる点である。結果として、情報漏えい対策として有効になる。MylogStar 3は、以下の15の操作ログを保存する。

・コンピュータログ
・ユーザーログ
・アプリケーションログ
・ファイルログ
・プリンタログ
・Eメールログ
・Webログ
・FTPログ
・ウィンドウログ
・スクリーンショットログ
・クリップボードログ
・TCPセッションログ
・イベントログ
・WEBメールログ
・インベントリーログ

そして、問題発生時の追跡だけでなく、逆に不正が行われていない証拠としても利用できる点に注目したい。Pマークの取得やISMS対応といった企業価値の向上にも役立つだろう。

MylogStar 3では、いくつかのエディションがあるが、もっとも下位モデルのデスクトップ版では、サーバーが不要で運用できる(価格は、24,000円/1台)。したがって、LANから切り離したマイナンバーを扱うPCのみにインストールして、マイナンバー対策といった利用法もある。

利用に関して、出力やコピーといった操作は、人事・給与システムでは記録されない。その部分をMylogStar 3で補うことで、正しく利用されていることを確認できる。とはいえ、MylogStar 3に課題もある。たとえば、なりすましなどで不正ログインされた場合、それが本人かはわからない。その対策としては、顔認証システムと併用するといった解決策がある。また、データの中身はわからない。そこで、マイナンバーファインダーとの併用である。

個人情報が含まれるファイルかどうかをマイナンバーファインダーで確認するのである。詳しい併用方法はラネクシーのWebサイトにあるので、参考にしてほしい。

●デジタルデータだからこそ重要になるフォレンジック調査
○AOSリーガルテックが提供するフォレンジックサービス

最後に登壇したのは、AOSリーガルテックフォレンジック事業部長・弁護士の重政孝氏である。重政氏は、最近の情報漏えい事件を紹介するとともに、もし、情報漏えい事件が発生してしまった場合、当事者への責任追及を行うためには、事後的に検証できる証拠を確保する必要となる。そのために役立つのがフォレンジック調査であると語った。

では、フォレンジック調査とはどんなことをするのか。基礎的な部分を紹介しよう。まずデジタルデータであるが、PC、スマートフォンに大量に保存されている。最近は、IoTといわれるように、冷蔵庫、車、体重計などにもデジタルデータが保存されるようになってきた。

つまり、情報漏えい事件などが発生した場合、デジタルデータは行為者や行為事実を示す重要な証拠となる。その一方で、デジタルデータの特徴として、複製、消去、改変が非常に容易であることも大きな特徴である。そのため、大幅に改変されたデータから、"証明力を過大評価"してしまうこともある。重政氏は、デジタルデータが、十分な証明力を持つ証拠と認められるには、その取り扱いに通常の証拠とは異なる配慮が必要となると指摘する。その手法がデジタル・フォレンジックといえる。より、具体的には、図12のようになる。

指紋を採取する際に手袋をするように、PC内のデータを証拠とする場合には、たんに電源を入れて調べればよいということではない。では、どのようにするのか。その前提として、物理コピーと論理コピーについて紹介しよう。

図13の違いがわかるであろうか?OSで削除を行っても、HDDにはデータは存在し続ける。上書きされるとそのデータが読めない状態になる。つまり、図11でいえば、削除ファイルが存在するセクタが重要となる。多くの場合、なんらかの犯罪行為などがあると、削除を行うことで、証拠隠滅を図る。フォレンジック調査では、そのような削除されたデータを復元し証拠となるようにするのである。そのため、HDDのフォレンジック調査を行う場合、図14のような方法がとられる。

原本のHDDから、二重に物理コピーを作成する。そして、ハッシュ値で同一であることを確認する。さらに、物理的HDDからディスクイメージを作成し、実際の解析作業を行うのである。携帯電話やスマートフォンでは記憶メディアを、基盤から取り外しての作業となる。

具体的なフォレンジック調査の事例も紹介された。ここでは一例を紹介しよう。

退職時に顧客情報などを持参してというパターンである(情報漏えいとしては、もっとも多いパターンである)。この事例では、さらに営業資料なども漏えいした可能性がある。図16は、USBメモリのアクセス履歴である。

退職した幹部社員のUSBメモリが上司のPCに接続されていることがわかる。さらに、接続時刻をみると、7:32となっている。始業前の時刻であった。つまり、上司が出社するまえにUSBメモリを接続し、情報を入手していたことがわかる。フォレンジック調査の結果は以下のようになった。

・復元した削除メールから、就業期間中に新会社設立メールの作成、および在職者に転職の依頼メールを多数送信していた
・顧客情報、および見積書を、個人のUSBメモリにコピーしていた
・さらに、そのUSBメモリで、上司のPCに接続し会社情報をコピーしていた

この調査を踏まえ、損害賠償請求を行っている。AOSリーガルテックでは、同様の情報漏えい対策として、退職者のPCの保全や調査サービスも提供している。

上述したソリューションとの関連であるが、MylogStar 3を使っているのであれば、そのログはそのままフォレンジック調査に使うことができる。また、マイナンバーファインダーでファイルの保存先を特定しておけば、フォレンジック調査用のツール使う場合にも、スムーズ調査を行うことができる。フォレンジック調査に直結するソリューションとなるので、情報漏えい対策としてもできれば導入しておきたいところだ。

(c-bou)