情報漏えいによる損害を最小限に抑えるための事後対応とは
情報漏えい発生時には、まず「どのような情報が漏えいしたか」を把握することが、損害を最小限に抑える事後対応の鍵となる。 しかしながら、漏えいした情報を正確に把握することは非常に難しいのが実情だ。
9月11日にコングレスクエア日本橋Dホールで開催されたセミナー「敵を知り防御策を考える! 標的型攻撃対策セキュリティセミナー 標的型攻撃を受けたあとの“初動対応”が、企業の生命線」では、ネットエージェント株式会社(以下、ネットエージェント)のネットワークセキュリティコンサルタント、村田学氏と同社営業部の田端あやの氏が、「損害を最小限に抑える事後対応策~ログだけでは判らない被害実態~」と題するセッションを展開。漏えい情報を特定するための調査のアウトラインと、そのために必要な事前準備について詳しい説明がなされた。
まず村田氏が、情報漏えいの被害に合わせて適切な対応をすることで、いかに企業が被る損害を最小限に抑えられるかについて言及。そのためのポイントは、情報が漏えいした経緯と漏えいした情報を特定する調査にあるとした。
情報漏えいが起きてしまった際の調査でまず目が行くのがクライアント端末だ。しかし村田氏によると、クライアント端末に有用な情報が残されている可能性は高くないのだという。なぜならば、攻撃者もまたファイルの消去などで証拠隠滅を図ることが一般的だからだ。 続いて調査対象となるのが、メールサーバ、ファイルサーバ、ファイアウォールなどといった各種サーバ群に蓄積されたログである。
「しかし、サーバのログから分かるのは“何かが起きた”ということまでで、実際にどのような情報が漏れたかの特定は難しいのが事実。だからこそ、ネットワークの経路上の通信データを残しておくことが重要です。それにより、何の情報が漏れたのかが特定できるようになり、その結果、被害を最小限に抑える事後対応が可能となるのです」と、村田氏は強調する。
情報漏えいが起きても、適切な事後対応が可能になるパケットキャプチャ
ここでスピーカーをバトンタッチした田端氏は、通信データを記録・保存しておくための有効な方法として、パケットキャプチャ製品を挙げた。
「通信データをコピーして保管することができる製品がパケットキャプチャ製品です。店舗にある防犯カメラのような効果を発揮できる製品で、情報漏えいがあった際には、誰がどのような情報を持ち出したのか調査が可能です」(田端氏)
そんな“ネットワークの防犯カメラ”としてネットエージェントが提供しているのが「PacketBlackHole」だ。PacketBlackHoleには、メールの送受信やWebサイトの閲覧など、ネットワークを使った通信データを記録するとともに、その通信内容を元の形そのままに再現できるという大きな特徴がある。例えばメールの送信であれば、 普段使っているメールソフトと同じように、件名から本文、添付ファイルなどに至るまで、元の形そのままの状態で 再現できるのである。たとえHTTPS暗号化通信であっても、オプション製品である「Counter SSL Proxy」を利用することで、 HTTPS暗号化通信の内容(本文や添付ファイル等)を 確認することが可能だ。 この2つのソリューションにより、監視による不正行為の抑止、何かが起きてしまった後の迅速な調査の実現 、最後に情報漏えいリスクの発見の3つのメリットが期待できる。
会場では、実際にPacketBlackHole を使って標的型攻撃のメールを再現し、添付ファイルの内容を確認して見せるデモンストレーションも行われた。
「このように、通信データの監視だけではなく、漏えいしたデータの中身まで確認できることで、漏えいデータを特定して損害を最小限に抑える事後対応を実現できる点が大きなポイントです」と田端氏は言う。
セッションの最後に、PacketBlackHoleの評価機の2週間無料貸し出しについて触れ、「まず社内の通信を確認して情報漏えいのリスクを発見してみては」と呼びかけた。
「通信利用状況を“無料”で確認キャンペーン開催!
https://ssl.netagent.co.jp/entry/sales/webform2.cgi
特設コンテンツ公開中!
「情報漏えい事故調査の"実際"と担当者がすべきこと
http://www.netagent.co.jp/guide/inspections_01.html
(マイナビニュース広告企画:提供 ネットエージェント株式会社)
[PR]提供:ネットエージェント