注視すべき操作ログ

社内からの情報流出インシデントにおいて発覚後に操作ログから事実を確認したという事例があります。
その時に行われた操作行為を分析することで注視すべき操作がわかります。
それは通常業務で行う操作と明らかに異なる操作です。

社内でPCを利用している環境においても以下のような行為が情報流出のインシデントに利用されています。
・外部デバイスへ大量にファイルコピーする
・プリントアウトを大量に行う
・業務システムからのデータダウンロード
・多量な添付ファイルによるメール送信
・フリーメールによるファイル添付
・フリーオンラインストレージへのファイルアップロード
・多量ファイルのリネームおよびCSVやPDFへの変換
・頻度の多い画面キャプチャー
・フリーチャットソフトによるファイル送信
・Bluetoothによるスマホなどのデバイス接続
・日常アクセスしていないサーバやシステムへのアクセス

このようなPC操作ログを監視することでインシデントの被害を最小にすることが可能となります。
例えば、行為が行われた直後に操作した本人にポップアップで警告が表示されること。
さらに上長、セキュリティ管理者に警告を出した旨の通知が届くこと。

操作ログをアクティブに活用する体制とルールを構築することでインシデントを未然に防ぐことが可能になります。

操作ログから警告を出すことが可能なログ管理ソフトウエアを導入するだけでなく、警告を出す操作をルールで決めること。警告が出た後の人的な管理体制とその罰則などの対応を決めることが必要になります。