2018年5月、EU市民・居住者の個人情報保護を目的としたGDPR(一般データ保護規則)が、6月には日本国内でクレジットカード情報のセキュリティ強化を求める改正割賦販売法が施行された。関連する事業者であれば、双方とも既に対策済みであるべきものだが、「取り組み中」「対応検討中」という企業が少なくないのが実情のようだ。いまだ対応に追われている情シス担当者も多いのではないだろうか。

本稿では、いま企業に求められているデータ管理・アカウント管理体制について、ノックス 技術本部の小島 和也氏に話を聞いた。同社はストレージ、ネットワークなどのIT製品を幅広く取り扱っており、セキュリティ・ソリューションの導入・運用支援でも豊富な実績がある。

GDPRの遵守に向けた4つの目標

ノックス 技術本部 プリセールス部 小島 和也氏

ノックス 技術本部 プリセールス部 小島 和也氏

GDPRについて簡単におさらいしておこう。GDPRでは原則として欧州経済領域(EEA)内で取得した個人情報を域外に移転させることを禁じており、移転する場合は厳しい規則に従うことを求めている。例えば国内にしか拠点を持たない宿泊業者であっても、日本観光時の宿泊プランをEU向けのWebサイトで販売しているケースではGDPRに則した対応をする必要がある。またEEAに出張した日本人の個人情報もGDPRの対象となるため、海外に拠点や販売網を持つ企業であれば、ほぼ全てが適用対象となる。制裁金は世界年間売上の4%、あるいは200万ユーロのどちらか高いほうが課せられるため、十分な注意が必要だ。

事故や違反による情報流出の事態を防ぐために、企業は何をすればいいのか。小島氏はGDPRの遵守にあたって、まず念頭に置くべき4つの目標を挙げる。

  1. GDPRデータがどこにあるのかを特定し、誰にアクセス権があるのかを調べておく 
  2. GDPRデータやその他機密性の高い情報を適切なリソースに統合/移動させる 
  3. GDPRデータやその他機密性の高い情報に最小限モデルを適用する 
  4. GDPRデータと識別されてしまう古いファイルやフォルダを特定し、必要に応じて削除する

この目標は、GDPR第25条(Data protection by design and by default:設計段階および初期設定でのデータ保護)の内容を意識して作られたものだ。保有するデータと、そのデータにアクセス権を持つ人員を最小限に整理することで、情報保護体制の強化を図ることを目的としている。

こうした考え方は、国内の改正割賦販売法で求められているPCI DSSへの準拠対策としても有効だろう。PCI DSSではクレジットカード情報の保存・処理に関わるシステムや人員、さらに情報が通過するネットワークにもセキュリティ対策が必要になるが、データを扱うシステムやそれにタッチする人員を最小限にすれば、対策にかかるコストを抑えることができるからだ。

データやアカウント棚卸しをどう行うかが課題に

目標の達成に向けて具体的に行うべき作業内容は、おおよそ以下のようになるだろう。

まずはデータの棚卸しをして、古いデータは削除する。次に強固なセキュリティ対策を施したファイルサーバを用意し、保護が必要なデータを移動、そして各データを扱う人員(アカウント)を最小限に絞り込み、それぞれが必要とする権限だけを付与する。

ここまでの作業を完了させるのに、貴社ならどのような手法を用いるだろうか。

「棚卸しは各部署にExcelで申告してもらう……というレベルの手法だと目標の達成は困難でしょう。アクセス権にしても、社員数の多い企業、人事異動の多い企業などでは、前の部署にいる時に与えられたアクセス権がそのままになっていたり、退職者のアカウントがそのまま放置されていたりということもよくあることです」(小島氏)

ある調査では、企業内の全ユーザーアカウントの内、長期間使用されなくなっているにも関わらず有効なまま存在するアカウントは34%にもなるという結果が出ており、これを人海戦術で解消するのは難しい。解決策として考えられるのは管理ツールの導入だが、はたしてどのようなツールが適しているのだろうか。

※Varonisグローバルデータレポート2018年版

ファイルサーバを中心に据えたデータおよびアクセス権限の最小化

その選択肢のひとつとして、小島氏はファイルサーバのアクセス権限を最適化する「Varonis DatAdvantage(ヴァロニス・データアドバンテージ)」を挙げる。このツールは、ファイルサーバ内にある全てのデータについて、誰がどんなアクセス権限を与えられているのかをわかりやすく可視化してくれる。フォルダ一覧からそれらに権限を持つユーザーを見つけることも、ユーザー一覧からそのユーザーがアクセス権を持つフォルダを一覧表示させることもできるため、アクセス権の確認・変更作業が簡単に行える。

  • ユーザー視点・フォルダ視点でアクセス権の確認が可能

    ユーザー視点・フォルダ視点でアクセス権の確認が可能

フォルダへのアクセス履歴を確認して、長期間誰もアクセスしていないフォルダを見つけることも容易だ。こうした古いデータは削除するかアーカイブして別サーバに移せば、「データの最小化」が図れるだろう。また、ファイルサーバを利用していないユーザーや、特定フォルダに長期間アクセスしていないにも関わらず、そのアクセス権を持っているユーザーを洗い出すためのビューも搭載されている。ユーザーが退職している場合はアカウントを削除、異動している場合はアクセス権を取り消すといった措置をとれば「最小権限」の実現に近づく。

ユーザーのふるまい検知でデータ侵害をいち早く察知

Varonis Systems セールスエンジニア(CISSP/CISA/CISM)跡部 靖夫氏

Varonis Systems セールスエンジニア(CISSP/CISA/CISM)跡部 靖夫氏

開発元であるVaronis Systemsの跡部 靖夫氏は、GDPR遵守のためには「Varonis DatAdvantage」に加えて「Varonis DatAlert(データ・アラート)」の利用を勧める。これは各ユーザーの日常的なふるまいを記録・学習し、異常な動作があれば警告を出すというものだ。

例えばあるユーザーが、通常は一日に数回しか利用しないフォルダにアクセスを繰り返している場合、それをリアルタイムに検知して警告を出してくれる。そのアクセスが業務上必要なことかをチェックして、不正の芽を早期に摘み取ることができる。悪意のあるユーザーの行動を検知するだけでなく、内部に入り込んでアカウントを乗っ取って不正な活動を行うマルウェアやランサムウェアへの対策としても有効だという。

「GDPRには個人データ侵害が発生してから72時間以内に監査機関に通知しなければならないという条文(第33条)があります。Varonis DatAlertでリアルタイムに不正やデータ侵害を検知できれば、万が一通知が必要になった場合にも余裕を持った対応が取れるでしょう」(跡部氏)

ここまで解説してきたように、Varonis製品はGDPRと改正割賦販売法への対策に有用だが、それだけではなく通常のセキュリティ対策の運用においても実効性のあるツールといえる。アクセス権の可視化や、ユーザーのふるまいの記録・学習といった機能は、不正の兆しを事前に察知するのに効果を発揮してくれる。情報保護体制の強化を求める企業にとって、Varonis製品は導入を検討する価値のあるソリューションといえるだろう。

Varonis製品について詳細はこちら

Varonis Data Security Platform

[PR]提供:ノックス