漏れたら危険な”機密情報”や”個人情報”のファイル操作を可視化できていますか

個人情報保護委員会が厚生労働省に行政指導につづいて自衛隊員の情報漏えいによる捜査が行われているとの報道がありました。国レベルの行政機関によるこの状況は氷山の一角ではないことを祈るばかりです。

 

民間企業においても飲食チェーンによる食材情報の持ち出しや5G情報の持ち出しなどが大きく報道されました。この他にも自治体においても個人情報を故意に漏えいさせるなどの事件も明らかになっています。

 

個人情報についてはわかりやすいこともあり、個人の情報をリスト化したファイルが保護する対象であることは従業員の理解も高いと思います。管理体制としても日常的に個人情報ファイルを扱う部門や担当者を特定して漏えいさせない体制で利用されていると思います。

 

機密情報についてはどうでしょうか。企業が経営上他社には知られたくない情報は各企業ごとに違うことは言うまでもありません。またその経営の中枢と言える情報を扱う部門は特定されていますが企業によって異なるものです。そういう意味では個人情報よりも全社員の意識としてどんな情報が機密に値するかわかりにくいかもしれません。

 

どちらの場合においても漏えいを防ぐために必要なことは、その情報を扱う部門や人を特定することと、その情報が記載されたファイルを特定しておくことにあると考えます。紙による管理の時代には資料に「社外秘」などの印を押していたと思います。紙の時代には容易にコピーできなかったことから大量な漏えいも防げていたのかもしれません。

 

個人情報においては氏名と住所やメールアドレス、電話番号、マイナンバーなどが、ある数量以上含まれている場合個人情報ファイルとする。というように決めてそのドキュメントファイルを特定することが可能です。

 

機密情報においては各企業において特定する情報もことなることから、特定するためのキーワードを決めてそのキーワードが含まれるドキュメントファイルを特定することが現実的だと考えます。

 

デジタル化したファイルにおいては、アクセスする人を限定した保管場所による利用形態に頼っていませんでしょうか。上記で報道された事件において限定した保管場所にアクセスする人がそのアクセス権を使うか、パスワードを実行者に渡した結果流出が起きています。

 

機密情報が正規なアクセス権を使ってファイルを保管場所から持ち出されたりした場合、その行為の特定に役立つのが操作ログです。しかし特定の保管場所にアクセスした操作ログの場合、その権限を持った人の操作ログをすべて記録されています。今まではその操作ログだけでは漏えいが行われたことを特定できなかったと思います。

 

操作ログ管理ソフトをリリース依頼20年となるクオリティソフトが考えた手法は、操作ログを日付ごとに操作の多い人(PC)を操作数が多い順に並べて棒グラフ化して表示することにしました。日付を動かすことで順位が変動して棒グラフも変化します。

 

この棒グラフが日付を動かしていると日常とはことなる数を示す棒グラフを表示することがあります。この日常とは異なる異常値を示した棒グラフをクリックしてドリルダウンすると、その操作が正常な操作か不正なアクセスによるものかを判別できます。

It's only fair to share...
Share on Facebook0Tweet about this on TwitterShare on LinkedIn0

クラウドサービス製品

  1. インターネットを利用する上ではフィッシング被害の増加やマルウエア感染からランサムウエアによる被害…
  2. オンプレミスで社内のIT資産管理を行ってきたQNDが、クラウドを使えるようになりました。この新機…
  3. SaaS利用とオンプレミス どっちが得か? ITを利用する業務において昨今ではクラウドからSa…

働き方改革

  1. VPN経由の被害が目立っているサイバー攻撃は、なぜ起きるのか

    警察庁が9月9日に発表した「令和3年上半期におけるサイバー空間をめぐる脅威の情勢等について」によ…
  2. ローテーション勤務を安全に実施する「セキュリティガイドライン」

    緊急事態宣言の延長されましたが、陽性者数は減少しない状況です。ワクチン接種が進ま…

構成管理/サポート

  1. Microsoft Office 2013は、2023年4月11日に延長で続いていたサポートも終…
  2. 2022年12月20日より厚生労働省がソフトウェア協会に委託して、医療機関向けのサイバーセキュリ…

このサイトをシェア

Share on FacebookTweet about this on TwitterShare on LinkedIn

管理ノウハウ

  1. 2024年9月、MicrosoftはWindows Server Update Servic…
  2. Microsoftは、提供している製品すべてにAI機能を搭載するとの方針を発表しており、Window…
  3. 情報セキュリティ監査とは? 情報セキュリティ監査とは、組織や企業で管理すべき情報システムが正常に動…

セキュリティ対策

  1. ランサムウェア(Ransomware)とは、悪意のあるソフトウェアの一種で、感染したコンピュータやネ…
  2. Microsoft Copilot(コパイロット)とは Microsoft Copilot(コ…
  3. Windows 11のシステム要件 Windows 11へアップグレードするために必要なシステ…
ページ上部へ戻る