企業のデータは常にリスク(特に組織内部のリスク)にさらされている。この状況はますます明らかになってきた。これは、情報セキュリティに関するニュース記事に注意を払っている人にとっては驚くようなことではない。しかし、これまでデータ流出を監視するプロセスや技術が未熟であったため、ほとんどの企業は現実に目をそむけてきた。
悪党どもが主に欲しがっているのは、個人を特定できる情報(Personally Identifiable Information:PII)だ。具体的にはメールアドレス、社会保障番号、クレジットカード情報などであり、これらの情報はなりすましの手段として利用できる。残念ながら、アカウントを盗むために使える情報の市場だけでなく、他人の名前をかたって信用を手に入れるのに使う情報を売買する巨大な市場も存在する。データ流出事件として過去最大の規模となったTJX Companiesの事件は、個人データの流出がどのような結果を招くかをまざまざと見せつけた。
データ流出のもう1つの大きな要因は、知的財産(IP)だ。DuPontの企業秘密の盗難は有名だが、たいていの企業は知的財産情報の流出を公表したがらないため、一般に知られていない流出事件は何百件も存在する。どんな企業でも、自社の知的財産のかなりの部分をデジタル化している。つまり、悪意を持った従業員や無警戒な従業員が、いつでも知的財産情報をリムーバブルメディアにダウンロードしたり、電子メールに添付したりする可能性があるということだ。そうなれば一巻の終わりだ。流出した情報は元に戻らない。
情報流出に伴う損失は明らかであり、問題は「アウトバンド」(外に出ていく)コンテンツを保護するにはどうすればいいかということだ。対策の出発点となるのは、トレーニングなどを含めた多面的なアプローチだ。トレーニングの目的は、自社のポリシーの内容、そしてそれに従わないことに伴う結果を従業員に周知徹底することだ。
しかし、トレーニングの前にやるべきことがある。何を保護するのかを明確化することだ。すなわち、社内にあるデータを調査し、誰がどんな目的で利用できるようにするかを規定することだ。どんなデータがどこに保管されているのか確認するだけでも有意義だろう。この組織的作業により、それまで気付かなかった多数の情報流出ポイントを取り除ける場合が多いからだ。
センシティブなデータの保管場所を把握し、特別な保護対策を必要とする情報を特定したら、次は技術の出番だ。センシティブなデータが流出する前にそれをチェックするテクニックは数多く存在する。その有効性のカギとなるのは精度だ。もちろんデータの流出を見逃すのは問題だが、フォールスポジティブ(誤検知)が多過ぎる、つまり実際には保護する必要のないデータに対して警告を発するのも問題だ。いずれも時間と経費の大きな無駄だ。以下に、有効なテクニックの一部を紹介する。
正規表現
一般に、正規表現は最もシンプルな検知テクニックだ。この手法は単に、社会保障番号、電話番号、口座番号などの形式にフォーマットされたデータを検索するというものだ。しかし、悪意を持った攻撃者はデータストリームのフォーマットを変えることによって、この防御手段を容易に回避してしまう。
辞書
特に医療分野などでは、共通して用いられる用語(「診断コード」など)がある。ゲートウェイ製品では、少なくとも検査をする必要があるセンシティブなデータをピンポイントで特定するのに辞書が用いられる。
フィンガープリント
多くのベンダーは、企業のセンシティブなデータの特徴を抽出するために高度なアルゴリズムを自社のデバイスで使用している。これらの製品は、センシティブと見なされるデータに注目してそのデータのフィンガープリントを作成し、センシティブなデータに類似したタイプのデータを探す。
ヒューリスティック
主にスパム対策で用いられる手法の中にも、アウトバウンドコンテンツのフィルタリングに応用可能なものがある。その1つがヒューリスティック技術を利用して、何がよくて何が不正なのかに関してデバイスを訓練するという方法だ。これはフィンガープリント手法と似ているが、それほど洗練された手法ではない。
近似マッチング
精度を高める方法の1つは、近似マッチングフォーミュラをデータに適用し、特定の語句を探すだけでなく、これらの語句がどのような相互関係で使用されているかを検査することだ。この方法は、特定のタイプのデータが検出されるたびに警告を発するだけの手法に比べると、送信者の意図を特定するのに効果がある。
実際には、あらゆるベンダーあるいは技術が、これらのすべてのテクニックに加え、ほかにも多くの手法を利用するものと思われる。さらにややこしいことに、ベンダー各社は同じ方法を表すのに異なる用語を使おうとする。これはつまり、どの製品が自社の環境に最適なアウトバウンドコンテンツフィルタリング機能を提供するのかを正確に判断するのが難しいことを意味する。それを判断するには、幾つかの(5個とか10個ではなく、2~3個の)デバイスを実際のトラフィックの中でテストするしかない。
確かに、こういった方法は大量のリソースを消費するし時間もかかるので、そんな余裕はないという企業もあるかもしれない。しかし精度で妥協してもいいのだろうか。それは絶対に許されないことだ。最初の段階できちんとやらなければ、監査人はあなたの後釜にそうさせることになるだろう。
最後に、スタンドアロン型製品の方がいいのか、それともコンテンツセキュリティ機能を電子メールゲートウェイや統合脅威管理(UTM)製品などのデバイスに統合したものがいいのかを判断しなければならない。その答えは、技術的な視点よりもむしろ、会社の規模、組織の複雑さ、社内の力関係などによって決まるだろう。
あなたの会社のリスクの95%が電子メールを通じた情報流出の可能性に起因するものだと判断した場合は、既存の電子メールセキュリティデバイスに搭載されたアウトバウンドフィルタリング機能を使用すれば十分だろう。多数の複雑なCAD/CAM図面や医薬化合物を扱っている企業であれば、共有ファイルやデータベース内のデータだけでなく、エンドポイントデバイス上のデータを監視する製品を利用する方が理にかなっている。
企業規模という要因も無視してはならない。比較的小規模な環境であれば、既存の境界ゲートウェイのWeb/電子メールフィルタリング機能で間に合うだろう。しかし流出可能ポイントが多数存在し、地理的に分散したネットワークや1Gbpsネットワークを既に構築済みの巨大企業であれば、専用のアウトバウンドコンテンツセキュリティプラットフォームの方が適切な選択肢になる場合が多いだろう。
将来的には、アウトバウンドコンテンツフィルタリング・流出防止技術が境界プラットフォームやエンドポイントセキュリティスイートの1機能になるかもしれない。しかし、特に大企業の場合、それで労力が軽減するかどうかは不明だ。なぜなら、最も重要なのは一貫したポリシーだからだ。社内環境のさまざまな側面で異なる防御技術を利用している場合、一貫したポリシーを適用するのは難しい。
セキュリティ分野で解決すべきほかのあらゆる問題と同様、今回取り上げた問題についても特効薬や万能ソリューションがあるわけではない。近くのショップに行ってコンテンツセキュリティ対策パッケージを買ってくる、というわけにはいかないのだ。現時点での最善の対策は、どんなデータがどこにあるのか、どのデータを防御する必要があるのか、そしてどんな技術の組み合わせが自社のニーズに合っているのかを判断するのに役立つプロセスを採用することだ。
悪党どもが主に欲しがっているのは、個人を特定できる情報(Personally Identifiable Information:PII)だ。具体的にはメールアドレス、社会保障番号、クレジットカード情報などであり、これらの情報はなりすましの手段として利用できる。残念ながら、アカウントを盗むために使える情報の市場だけでなく、他人の名前をかたって信用を手に入れるのに使う情報を売買する巨大な市場も存在する。データ流出事件として過去最大の規模となったTJX Companiesの事件は、個人データの流出がどのような結果を招くかをまざまざと見せつけた。
データ流出のもう1つの大きな要因は、知的財産(IP)だ。DuPontの企業秘密の盗難は有名だが、たいていの企業は知的財産情報の流出を公表したがらないため、一般に知られていない流出事件は何百件も存在する。どんな企業でも、自社の知的財産のかなりの部分をデジタル化している。つまり、悪意を持った従業員や無警戒な従業員が、いつでも知的財産情報をリムーバブルメディアにダウンロードしたり、電子メールに添付したりする可能性があるということだ。そうなれば一巻の終わりだ。流出した情報は元に戻らない。
情報流出に伴う損失は明らかであり、問題は「アウトバンド」(外に出ていく)コンテンツを保護するにはどうすればいいかということだ。対策の出発点となるのは、トレーニングなどを含めた多面的なアプローチだ。トレーニングの目的は、自社のポリシーの内容、そしてそれに従わないことに伴う結果を従業員に周知徹底することだ。
しかし、トレーニングの前にやるべきことがある。何を保護するのかを明確化することだ。すなわち、社内にあるデータを調査し、誰がどんな目的で利用できるようにするかを規定することだ。どんなデータがどこに保管されているのか確認するだけでも有意義だろう。この組織的作業により、それまで気付かなかった多数の情報流出ポイントを取り除ける場合が多いからだ。
センシティブなデータの保管場所を把握し、特別な保護対策を必要とする情報を特定したら、次は技術の出番だ。センシティブなデータが流出する前にそれをチェックするテクニックは数多く存在する。その有効性のカギとなるのは精度だ。もちろんデータの流出を見逃すのは問題だが、フォールスポジティブ(誤検知)が多過ぎる、つまり実際には保護する必要のないデータに対して警告を発するのも問題だ。いずれも時間と経費の大きな無駄だ。以下に、有効なテクニックの一部を紹介する。
正規表現
一般に、正規表現は最もシンプルな検知テクニックだ。この手法は単に、社会保障番号、電話番号、口座番号などの形式にフォーマットされたデータを検索するというものだ。しかし、悪意を持った攻撃者はデータストリームのフォーマットを変えることによって、この防御手段を容易に回避してしまう。
辞書
特に医療分野などでは、共通して用いられる用語(「診断コード」など)がある。ゲートウェイ製品では、少なくとも検査をする必要があるセンシティブなデータをピンポイントで特定するのに辞書が用いられる。
フィンガープリント
多くのベンダーは、企業のセンシティブなデータの特徴を抽出するために高度なアルゴリズムを自社のデバイスで使用している。これらの製品は、センシティブと見なされるデータに注目してそのデータのフィンガープリントを作成し、センシティブなデータに類似したタイプのデータを探す。
ヒューリスティック
主にスパム対策で用いられる手法の中にも、アウトバウンドコンテンツのフィルタリングに応用可能なものがある。その1つがヒューリスティック技術を利用して、何がよくて何が不正なのかに関してデバイスを訓練するという方法だ。これはフィンガープリント手法と似ているが、それほど洗練された手法ではない。
近似マッチング
精度を高める方法の1つは、近似マッチングフォーミュラをデータに適用し、特定の語句を探すだけでなく、これらの語句がどのような相互関係で使用されているかを検査することだ。この方法は、特定のタイプのデータが検出されるたびに警告を発するだけの手法に比べると、送信者の意図を特定するのに効果がある。
実際には、あらゆるベンダーあるいは技術が、これらのすべてのテクニックに加え、ほかにも多くの手法を利用するものと思われる。さらにややこしいことに、ベンダー各社は同じ方法を表すのに異なる用語を使おうとする。これはつまり、どの製品が自社の環境に最適なアウトバウンドコンテンツフィルタリング機能を提供するのかを正確に判断するのが難しいことを意味する。それを判断するには、幾つかの(5個とか10個ではなく、2~3個の)デバイスを実際のトラフィックの中でテストするしかない。
確かに、こういった方法は大量のリソースを消費するし時間もかかるので、そんな余裕はないという企業もあるかもしれない。しかし精度で妥協してもいいのだろうか。それは絶対に許されないことだ。最初の段階できちんとやらなければ、監査人はあなたの後釜にそうさせることになるだろう。
最後に、スタンドアロン型製品の方がいいのか、それともコンテンツセキュリティ機能を電子メールゲートウェイや統合脅威管理(UTM)製品などのデバイスに統合したものがいいのかを判断しなければならない。その答えは、技術的な視点よりもむしろ、会社の規模、組織の複雑さ、社内の力関係などによって決まるだろう。
あなたの会社のリスクの95%が電子メールを通じた情報流出の可能性に起因するものだと判断した場合は、既存の電子メールセキュリティデバイスに搭載されたアウトバウンドフィルタリング機能を使用すれば十分だろう。多数の複雑なCAD/CAM図面や医薬化合物を扱っている企業であれば、共有ファイルやデータベース内のデータだけでなく、エンドポイントデバイス上のデータを監視する製品を利用する方が理にかなっている。
企業規模という要因も無視してはならない。比較的小規模な環境であれば、既存の境界ゲートウェイのWeb/電子メールフィルタリング機能で間に合うだろう。しかし流出可能ポイントが多数存在し、地理的に分散したネットワークや1Gbpsネットワークを既に構築済みの巨大企業であれば、専用のアウトバウンドコンテンツセキュリティプラットフォームの方が適切な選択肢になる場合が多いだろう。
将来的には、アウトバウンドコンテンツフィルタリング・流出防止技術が境界プラットフォームやエンドポイントセキュリティスイートの1機能になるかもしれない。しかし、特に大企業の場合、それで労力が軽減するかどうかは不明だ。なぜなら、最も重要なのは一貫したポリシーだからだ。社内環境のさまざまな側面で異なる防御技術を利用している場合、一貫したポリシーを適用するのは難しい。
セキュリティ分野で解決すべきほかのあらゆる問題と同様、今回取り上げた問題についても特効薬や万能ソリューションがあるわけではない。近くのショップに行ってコンテンツセキュリティ対策パッケージを買ってくる、というわけにはいかないのだ。現時点での最善の対策は、どんなデータがどこにあるのか、どのデータを防御する必要があるのか、そしてどんな技術の組み合わせが自社のニーズに合っているのかを判断するのに役立つプロセスを採用することだ。