本コラムでご紹介している内容のまとめ
第1回Windows 10対応とハードディスク暗号化
「BitLocker(ビットロッカー)」で十分!?安全性・運用からの考察
近年、大学・研究所の情報漏えい事件・事故が相次いでいます。
膨大な個人情報、研究データなど重要情報を有する機関にも関わらず、情報セキュリティ対策を具現化する部署・担当者が不足または不在という状況の多さと、それに伴う現場の情報セキュリティ対策の導入、セキュリティポリシーの策定・実装に遅れや意識の相違が生じていることが原因とされています。
2017年度には、国立大学および大学共同利用機関、国立情報学研究所(NII)の連携により構築するサイバー攻撃検知システムの本格運用が予定されています。
さらに、2017年5月からは「不正提供・盗用に対する罰則の強化」が盛り込まれた改正個人情報保護法も施行されます。
環境変化を反映し、国レベルでセキュリティ強化が図られるなか、サイバー攻撃から大学・研究所を守るために現場が取り組むべき情報漏えい対策について考えてみたいと思います。
情報漏えい事件・事故が大学・研究所に与える影響
大学や研究所が所有する「情報資産」は、「秘密情報」「秘密として管理する必要のない情報」の大きく2つに分類できます。
秘密情報
公開前の研究成果、人事、教職員・研究員・学生の個人情報、企業など他社の秘密情報など
秘密として管理する必要がない情報
公開済みの研究成果など
何らかの形で社会に公表されることを前提としたものが多い中、「秘密情報」も様々に存在しているのが実状です。
秘密情報は、一度でも漏えいしてしまうと情報の資産価値は失われ、回復に非常な困難を要します。
さらに、大学・研究所の経営やブランド価値にも致命的な悪影響を及ぼしかねません。
| 2016年に発生した大学・研究所の情報漏えい事件・事故の一例 | ||
|---|---|---|
| 盗難 | 大学 | 学生の個人情報を含む進路状況調査表が所在不明になっていることが判明 |
| 紛失 | 大学 | 在学生名簿を運搬中、配送委託業者が紛失 |
| 誤操作 | 大学病院 | 医師が投稿論文に患者の個人情報を誤って添付 |
| 詐欺・恐喝 | 大学 | 職員がメールにより誘導されたフィッシングサイトでIDとパスワードを搾取されたことから個人情報が外部へ漏えい |
| メール誤送信 | 大学 | 送信メールに学生の個人情報を含むファイルを添付 |
| マルウェア感染 | 大学研究所 | 標的型メールを開封したことによりPCがマルウェア感染、外部と不正な通信を行っていたことが判明 |
| 紛失 | 大学病院 | 患者の個人情報が保存されたSDメモリカードを紛失 |
| ランサムウェア感染 | 大学 | 業務用PCに感染。端末やネットワークストレージ上のファイルが暗号化された |
| 目的外使用 | 大学 | 教員が個人情報のほか不適切な情報を自身のSNSに投稿 |
| 誤操作 | 大学 | 学生の個人情報を含むファイルをサーバにアップロード、約3カ月にわたりインターネットから情報が閲覧できる状態だった |
このような状況を受け、2016年10月、文部科学大臣は全国の大学に対して情報セキュリティ対策強化について注意喚起を行いました。
また、2017年5月30日に改正個人情報保護法が全面施行されることからも、ますます情報セキュリティの強化が組織にとって重要な課題となっています。
大学・研究所における情報漏えい対策における壁
ひとたび発生すれば、被害規模が膨大な大学・研究所での情報漏えい。
しかし、実際にセキュリティ対策を進めようとすると、様々な壁が立ちはだかるのも現状です。
これらの壁の前で、どのように情報漏えい対策を行い、実施していくことが有効なのでしょうか。
要員
- サーバ管理は学生・ボランティア
- 専門の部署、担当者がいない
コスト
- ITシステムが本業ではない学科や先攻では、要員・経費などのリソースが不十分
- 情報セキュリティに関する教育が進んでいない
現場の意見
- 教授や研究室の研究を妨げられない
- 職員のルール、学生のルールが個別に、存在し一元化されていない
環境
- 秘密情報が含まれるファイルが個人のPC上やサーバなどに点在しているので、すべてを把握しづらい
- どれが秘密情報かの判断基準が統一化されていない
体制
- 規模が広範なため周知徹底がしづらく、情報セキュリティーポリシーが十分に機能していない
- 組織全体をまとめる負担が大きい
壁を突破するためには、優先順位をつけ、影響範囲を絞ることが有効
大学・研究所には、多くの個人情報や研究情報が存在しています。
購買データや人事マスタデータなどデータベースで管理できる構造化データは、情報漏えいが発生した場合、影響は出るものの、情報が集約されているため管理が容易で、ふだんからセキュリティ対策を行っている場合が多いため、不正の発見や被害の把握も早期に確認できます。
一方、データベースに収まらないファイル(非構造化データ)は、PCで作成されたオフィス文書やWebコンテンツ、電子メール、画像、動画など多種・多量で、存在場所も個人のPCやサーバ上、外部メディアなど多岐にわたるため、取扱いが難しく整理・管理しにくいものです。そのため、非構造化データからの情報漏えいの対策は難しくなっているのが実情です。
大学・研究所における情報漏えい対策の壁を突破するには、守るべき情報に優先順位をつけ、影響範囲を絞ることが有効です。リスクの高いファイル(非構造化データ)から守ることをご提案します。
構造化データ
購買データ/人事マスタデータなどデータベースで管理されているデータ。情報漏えいが発生した場合の影響は大きいが情報が集約されているため管理しやすい。セキュリティ対策を行っている場合が多い。
非構造化データ
PCで作成されたOffice文書、Webコンテンツなどの電子文書化されたデータ。個人のPC上やサーバ・デバイス・クラウド上など様々な場所に存在するため整理・管理しにくい。
→リスクが高い非構造化データから優先的に対策を講じる必要性
リスクの高いファイル(非構造化データ)の情報漏えいを防ぐ
ファイルからの情報漏えいを防ぐためには、ファイルの特性と課題を理解し、対策を打つ必要があります。
さらに、その対策は利用者の意思によらず、定まったポリシーに従って自動で行うことがポイントになります。
ファイルの特性による課題
誰でもアクセス可能
一般的なアクセス制限はファイルの保管場所へのアクセスを制御するのみ。
その場所から持ち出された場合は、誰でもアクセス可能になってしまう。
様々な場所に存在
PC、ファイルサーバ、外部メディアなど広範囲。デバイスも多種・多様化しており、管理に限界。
取り扱いが容易
Office、PDFなど多くのユーザが利用しているためファイル内容の編集やコピー、印刷などが容易。
コピーや印刷による漏えいリスクが高い。
対策
暗号化
決められた端末やユーザしか参照できないように、ファイル単位で暗号化
集中管理
フォルダなど決められた場所に情報を集め、不必要に持ち出させない
操作制御
読み取り・書き込み・参照だけではなく、印刷・ファイル内容のコピー・ファイルの保存など、きめ細やかな操作制御を行い、必要最低限の操作のみ実施させる
NECソリューションイノベータが提案する
「研究情報保護ソリューション」
当社の「研究情報保護ソリューション」は、ファイルの「暗号化」「集中管理」「操作制御」により、大学・研究所が所有する情報資産を漏えいから守る対策を実現します。
守りたいファイルの保存・共有方法によって、「ファイルサーバ版」と「Webシステム版」の2つのモデルをご用意しています。
研究情報保護ソリューション ファイルサーバ版
- 特定のフォルダを機密化し、機密フォルダ内のファイルを自動暗号化。暗号化されたファイルは、許可された端末からのみ参照可能。
- フォルダ内での編集・保存は可能。フォルダ外へ情報を持ち出すことは承認なしでは不可。
- フォルダからの持ち出しはワークフロー承認を必須とし、重要情報を持つファイルを厳格に管理。
大学・研究所での運用例
お客様の課題
- 研究情報などの機密情報をファイルサーバで管理。アクセス権設定はしているが、権限を持つユーザの悪用が不安。
- 持ち出しには台帳や申請書などの紙での申請をしており、業務負荷が高い。
お客様の評価
機密領域からのデータ持ち出しを禁止
- 機密情報を保管するフォルダ・PCからの情報持ち出しを、強制的に禁止することができる。
- 機密領域内での移動・編集はできるため、業務に支障をきたすことがない。
社外からのアクセス時には閲覧・編集のみ
- 持ち出しPCで業務をする際は、社内のファイルサーバ上の共有フォルダにアクセス。共有フォルダからの情報を持ち出しをさせずに、社外作業ができる。
運用負荷を軽減する持ち出しワークフロー
- 領域外へファイルを持ち出す際には、電子ワークフローで簡単にファイル単位での持出許可申請・承認を行い、運用負荷をかけず管理が可能。
- ワークフローでの持ち出しログを記録し、事後の監査にも使うことができる。
研究情報保護ソリューション Webシステム版
- Webサーバ上で共有されているファイルの操作を制御。
- 許可されていなければ、ファイルのダウンロード、印刷などの情報持ち出しは不可。
- 許可されている場合でも、Webサーバからダウンロードしたファイルは自動的に暗号化され、ダウンロードした端末以外からの参照は不可。
大学・研究所での運用例
お客様の課題
- Webサーバにて画像や資料を保管・共有している。
- 画像や資料には機密性が高い情報や著作権などの観点で重要な情報があり、流出した場合の影響を懸念している。
お客様の評価
研究を妨げない、各現場に合わせた柔軟な制御
- Active Directoryと連携し、「教員」「学生」のユーザ属性単位でグループごとに制御をかけ、「教員はすべての操作が可能」「学生は閲覧のみ」という柔軟な運用を実現。
学外からの閲覧により研究効率アップ
- 本システム導入後では外部からのアクセス時にも学内からの利用時と同様、ユーザ情報に応じて制御をかけられるようになった。学内LANに接続できるPCであれば学外からも画像・資料を閲覧でき、研究効率が向上した。
掲載日:2017年5月22日
情報セキュリティコラム
情報漏えい対策の視角
セミナー・イベント情報
資料ダウンロード
企業の情報漏えい対策に役立つ情報をPDF形式の資料として無償でダウンロードしていただけます。
サイバー脅威からお客様の資産・ビジネスを守る
サイバーセキュリティ対応のポイント リーフレット
NECソリューションイノベータのサイバーセキュリティサイトをA4裏表でコンパクトにまとめた紹介リーフレット。
(A4・全2ページ)情報セキュリティ対策の特集/業界トレンド情報をご提供
ホワイトペーパー
-
IT部門 意思決定者を対象
(A4/全8ページ)
とした調査結果レポート -
「終わりなきITセキュリティ対策」
(A4/全4ページ)
に必要な2つの視点とは -
21世紀のセキュリティに
(A4/全6ページ)
AIが果たす役割
情報漏えい対策ソリューション
製品ご紹介リーフレット
本サイトでご紹介している製品のご紹介リーフレットを無料でまとめてダウンロードしていただけます。導入ご検討の際にぜひご活用ください。
-
NonCopy2(A4・全2ページ)
-
4thEye Professional(A4・全2ページ)
-
Tripwire Enterprise(A4・全2ページ)
-
CylancePROTECT(A4・全2ページ)
-
Webコンテンツ保護・情報漏えい対策リーフレット(A4・全4ページ)
サイバー脅威からお客様の資産・ビジネスを守る
サイバーセキュリティ
サイバー攻撃が加速度的に高度化・巧妙化し続ける今、
個所を守るセキュリティ対策だけでは対応することが困難になっています。
NECソリューションイノベータは、エンドポイントからクラウドまでシステムを
知るシステムインテグレータの視点で、組織全体のセキュリティ対策強化と、
お客様のビジネスの継続および重要データの保護をサポートします。
