>>2014年9月1日更新

情報漏洩対策の観点から見るFlowMon ADSによるアノマリー検出機能の有効性(1/4)

先日発生した某社の個人情報漏洩事件で学ぶ必要な情報漏洩対策とは?情報漏洩対策の観点から見る当社の製品FlowMon ADSによるアノマリー検出機能の有効性について検証します。



当コラムでは、先日発生した某社の個人情報漏洩事件で見えた、当社製品FlowMon ADSによるアノマリー検出機能の有効性について検証します。

某社の情報漏洩は内部の犯罪であり、今回のケースでは、外部との間の境界防衛であるファイアウォール、IPS、IDS等、ウィルス検査も内部の犯罪には役に立ちません。

内部の犯罪の実態は隠ぺいされ公開されていないのが現実ですが、内部犯罪と外部犯罪の比率は、7:3から8:2と非常に多いと言われています。

ファイアウォール、ウィルス対策に加えて、内部の犯罪の防止対策が望まれていますが、内部の犯罪防止策はほとんど施されていないことが現状だと言えるでしょう。


「監視」の重要性

一般的にセキュリティを高める上では「分離」「監視」「権限管理」の側面から検討する必要があります。

分離
重要なデータを物理的、論理的に分離することで、物理的には指紋認証などを使用し入室できる人を制限したり、ゲートウェイなどによりアクセスできる利用者を、権限を持った人に制限したりすることです。

監視
通信ログ、サーバ、ファイアウォールなどのアクセス監視などを行うことにより、攻撃を速やかに発見することです。

権限管理
情報へのアクセスを役割に応じて権限を設定し、アクセス出来るレベル、範囲を制限することで、認証および分離などと連携します。


上記で挙げた中で、内部の犯罪に対処する上では、監視が非常に重要になります。

監視には一般的にサーバのアクセスログ、通信ログがありますが、情報処理推進機構(IPA)の調査(図1)によると、経営者が殆ど留意しない通信ログの様な操作の証跡が一番抑止力になる、との分析結果があり、操作のログを採取することにより不正の大きな抑止力となることが期待されます。

図1:対策に関するアンケート結果(上位5位:社員)

監視するには一般的にサーバのアクセスログ、通信ログの分析が必要となりますが、アクセスログ、通信ログなどの情報は大量に出力されることから、人海戦術にてこの情報を監査し事前に不正や脅威をチェックするにはかなりのスキルと時間が必要となります。
また、アクセスログ、通信ログにはセキュリティレベルの高い情報が含まれることから、権限の低い人が分析することは避けなくてはなりません。
この事が一層監視を難しくしています。

ここで紹介するFlowMon ADS(注)は、NetFlowを利用した通信ログを監視する装置であり、内部の犯罪監視の有力なツールです。
ADSは、個々の利用者・サーバ毎の通信傾向を学習し、通信相手、通信量、アプリケーションなどを把握します。
この通信傾向が通常と大きく異なることを察知すると、不正の恐れがあると見做し通知します。
セキュリティ管理者は、これが通常の使用なのか、不正の恐れがあるのかを、ADSのセキュリティ解析機能を使用することにより判断します。

(注)ADS
Anomaly Detection System、NetFlowの技術を応用したセキュリティ分析製品で、通信を通信パターン、通信量、通信相手、などのいくつかの側面から分析し、ポートスキャン、DDos攻撃、辞書攻撃、大量データのダウンロード、などのセキュリティ上の脅威を検出する製品です。

FlowMon ADSで内部監視