• Home

  • Documents

  • NECグループにおけるITによる情報漏えい防止の取り組み ~情報 … ·...
4
情報漏えい防止の社内導入事例 42 現在、NECでは、新InfoCageシリーズを核に、 ITにより情報漏えいを防御するための仕組み(ARGUS:NEC Information Audit-trail & Guard System)を開発しています。その目的は、これまでは規則やモラルに頼らざるを得なかったオフィスの外での作業や情報を 第三者に預託するケースにおいてもITによる管理下に置き、情報漏えい事故を防止する、あるいは発生しても影響を最小化するこ とを実現することにあります。 ARGUSは、2006年度下期より一部の部門で先行導入を開始しており、2007年度よりNECグループへ の本格導入を開始する予定です。 NECは、NECグループ(協力会社など業務委託先を含 む)においての情報漏えい事故を防止するため、情報漏 えい防御システムARGUSを開発しています。人の意識や 行動に頼るだけでは、情報漏えい事故を完全に防ぐこと はできません。人が原因で発生する情報漏えい事故を、 ITにより最大限に防御する(事故を防ぐ、仮に発生しても 被害を最小化する)ことを目的としています。 本稿では、ARGUSを開発するに至った背景、目的、機 能の概要、今後の展開について紹介します。 NECは、NECイントラネットと呼ばれるNECグループの 企業ネットワークを構築、運用しています。 これまでIT面 では、NECイントラネットを中心に、下記に示すセキュリ ティ対策を実施し、その延長で情報漏えい対策を進めて きました。 (1)NECイントラネットのセキュア化 商用インターネットとの接続管理、NECイントラネット の状態監視、セキュリティ基準を満たさないPCのNEC イントラネットへの接続の排除など (2)NECイントラネット接続機器のセキュア化 セキュリティパッチ自動適用、ウイルス対策ソフトの自 動更新、 PC暗号化ソフトの導入など (3)NECイントラネット内の情報のセキュア化 ファイルの暗号化、ファイルへのアクセス制限など (4)NECイントラネット利用者の管理 人 事情報に基づく全利用者のIDの一元管理、IDによる 権限の管理 しかしながら、お客様情報等をオフィス外で取り扱う 業務が多く、NECイントラネットだけではなく、業務委託 先を含む情報のライフサイクル(情報の受領・作成から廃 棄・返却まで)全体をカバーする情報漏えい対策が必要と なってきています。 情報の受け渡しのルートと流出のリスクを図1 にまとめ ました。また、過去の事例およびお客様対応を実施して いる複数のプロジェクトのヒアリングにより、次のことが 分かりました。 1) 情報漏えい事故の主要因は、 PCやモバイルメディア (USBメモリ)の盗難/紛失、Winnyなどによるネットワー クを介した流出の2つに集約される。 2) 業務委託先の作業者が情報を入手する方法は、お 客様あるいはお客様システムから直接入手、NEC社員 から入手、プロジェクトサーバから入手など、様々で ある。 3) 情報が最終的に協力会社社員に渡るまでに、必要に 応じて情報の複製・加工が行われている。 4) 作業環境が保護されていないことが事故の発生(被 害の拡大)の原因の1つである。 また、情報の持ち出され方については、次のことが分 かりました。 (1)業務上、情報を持ち出す必要があった事例が多い。 ①業務委託先での開発のため ②お客様システムの保守のため ③作成した情報を、お客様に納入するため (2)業務上、情報を持ち出す必要性は認められたが、規 則に則らず持ち出した事例が多い。 ①正規の持ち出し手続きを経ず持ち出し NEC グループにおける IT による情報漏えい防止の取り組み ~情報漏えい防御システム ARGUS~ はじめに 開発の背景 情報の漏えいリスクの所在

NECグループにおけるITによる情報漏えい防止の取り組み ~情報 … · 以上の分析により、necグループでの情報漏えい事故 を防ぐため、下記の機能を有するシステムを実現するこ

  • Upload
    others

  • View
    1

  • Download
    0

Embed Size (px)

Citation preview

Page 1: NECグループにおけるITによる情報漏えい防止の取り組み ~情報 … · 以上の分析により、necグループでの情報漏えい事故 を防ぐため、下記の機能を有するシステムを実現するこ

情報漏えい防止の社内導入事例

42

現在、NECでは、新InfoCageシリーズを核に、ITにより情報漏えいを防御するための仕組み(ARGUS:NEC Information Audit-trail &

Guard System)を開発しています。その目的は、これまでは規則やモラルに頼らざるを得なかったオフィスの外での作業や情報を

第三者に預託するケースにおいてもITによる管理下に置き、情報漏えい事故を防止する、あるいは発生しても影響を最小化するこ

とを実現することにあります。 ARGUSは、2006年度下期より一部の部門で先行導入を開始しており、2007年度よりNECグループへ

の本格導入を開始する予定です。

NECは、NECグループ(協力会社など業務委託先を含む)においての情報漏えい事故を防止するため、情報漏えい防御システムARGUSを開発しています。人の意識や行動に頼るだけでは、情報漏えい事故を完全に防ぐことはできません。人が原因で発生する情報漏えい事故を、ITにより最大限に防御する(事故を防ぐ、仮に発生しても被害を最小化する)ことを目的としています。本稿では、ARGUSを開発するに至った背景、目的、機能の概要、今後の展開について紹介します。

NECは、NECイントラネットと呼ばれるNECグループの企業ネットワークを構築、運用しています。 これまでIT面では、NECイントラネットを中心に、下記に示すセキュリティ対策を実施し、その延長で情報漏えい対策を進めてきました。(1)NECイントラネットのセキュア化

商用インターネットとの接続管理、NECイントラネットの状態監視、セキュリティ基準を満たさないPCのNECイントラネットへの接続の排除など(2)NECイントラネット接続機器のセキュア化

セキュリティパッチ自動適用、ウイルス対策ソフトの自動更新、 PC暗号化ソフトの導入など(3)NECイントラネット内の情報のセキュア化

ファイルの暗号化、ファイルへのアクセス制限など(4)NECイントラネット利用者の管理

人 事情報に基づく全利用者のIDの一元管理、IDによる権限の管理

 しかしながら、お客様情報等をオフィス外で取り扱う業務が多く、NECイントラネットだけではなく、業務委託先を含む情報のライフサイクル(情報の受領・作成から廃棄・返却まで)全体をカバーする情報漏えい対策が必要となってきています。

情報の受け渡しのルートと流出のリスクを図1にまとめました。また、過去の事例およびお客様対応を実施している複数のプロジェクトのヒアリングにより、次のことが分かりました。1) 情報漏えい事故の主要因は、 PCやモバイルメディア(USBメモリ)の盗難/紛失、Winnyなどによるネットワークを介した流出の2つに集約される。2) 業務委託先の作業者が情報を入手する方法は、お客様あるいはお客様システムから直接入手、NEC社員から入手、プロジェクトサーバから入手など、様々である。3) 情報が最終的に協力会社社員に渡るまでに、必要に応じて情報の複製・加工が行われている。4) 作業環境が保護されていないことが事故の発生(被害の拡大)の原因の1つである。また、情報の持ち出され方については、次のことが分かりました。 (1)業務上、情報を持ち出す必要があった事例が多い。

①業務委託先での開発のため②お客様システムの保守のため③作成した情報を、お客様に納入するため(2)業務上、情報を持ち出す必要性は認められたが、規

則に則らず持ち出した事例が多い。

①正規の持ち出し手続きを経ず持ち出し

NECグループにおけるITによる情報漏えい防止の取り組み~情報漏えい防御システム ARGUS~

はじめに

開発の背景

情報の漏えいリスクの所在

J103.indd 1J103.indd 1 07.1.29 9:18:44 PM07.1.29 9:18:44 PM

Page 2: NECグループにおけるITによる情報漏えい防止の取り組み ~情報 … · 以上の分析により、necグループでの情報漏えい事故 を防ぐため、下記の機能を有するシステムを実現するこ

43NEC技報 Vol.60 No.1/2007

  特に、これまで有効な対策ができていなかった、協力会社、再委託先への情報の授受についてITによる管理下におく。(2)情報のライフサイクルを通した管理

情 報の受領・作成~活用・保存~返却・廃棄までの情報のライフサイクルを通じて情報を保護し、また、管理・追跡を可能とする。(3)情報の一元管理とフェイルセーフ化

保 護すべき情報はファイルサーバ/ストレージサービスに格納、管理する。作業に必要な情報のみ必要時にPC上にダウンロードし使用する。また、暗号化されていないファイルは、自動的に暗号カプセル化する。(4)NECグループとしてのITによる統制の強化

  情報やモバイルメディアの管理ポリシーを強制適用する。また、 PCの使用ログ、ファイルへのアクセスログを

②持ち出した記録を残さず持ち出し③私物のPCやモバイルメディアの使用(3)業務上不要な情報も持ち出し、PC上にファイルを保

有することで、被害を拡大している。

①要不要を判断せず、情報を一括して持ち出し②不要になった過去の情報を削除せず保持

以上の分析により、NECグループでの情報漏えい事故を防ぐため、下記の機能を有するシステムを実現することを、目標と定めました。(1)NECグループの情報を取り扱う会社・組織を網羅

  NEC~NEC関係会社~協力会社~再委託先を含む。

システムのめざすもの

図1 情報の受け渡しルートと流出のリスク

規則に反する複写

業務委託先作業員の構外作業

業務委託先作業員の事故

業務委託先での不適切なコピー ・ 操作

J103.indd 2J103.indd 2 07.1.29 9:18:44 PM07.1.29 9:18:44 PM

Page 3: NECグループにおけるITによる情報漏えい防止の取り組み ~情報 … · 以上の分析により、necグループでの情報漏えい事故 を防ぐため、下記の機能を有するシステムを実現するこ

44

NECグループにおけるITによる情報漏えい防止の取り組み~情報漏えい防御システム ARGUS~情報漏えい防止の社内導入事例

集中管理し、必要に応じて検索可能とする。

ARGUSは、(1)ARGUSクライアント、(2)ARGUSサーバ、(3)全社ARGUSセンター、(4)ファイルサーバ/ストレージサービス、から構成されます(図2)。(1)ARGUSクライアント

ARGUSクライアントは、管理対象とするクライアントPCにインストールされ、 ARGUSのポリシー管理サーバから配付されたポリシーに基づき、PCの操作監視、USBデバイスのコントロール、ファイルの暗号カプセル化とファイルサーバ/ストレージサービスへの保存、ファイルの操作ログの記録、を行います。ARGUSクライアントでファイルを作成すると、作成者以外閲覧不可の閲覧権が付与されます。万が一その

ファイルが流出しても、第三者は閲覧できません。そのファイルをプロジェクトで共有する場合は、秘フォルダに置くことにより指定された要員のみが閲覧できる属性がそのファイルに付与され暗号カプセル化され、ファイルサーバ/ストレージサーバに保存されます。また、業務委託先に情報を渡すための、特殊な暗号カプセル化の機能(エクスポート機能)を持っています。この機能により、ARGUS環境ではない一般の環境において、利用できる環境を指定してファイルを渡すことを可能とします。それ以外ではそのファイルは開けないため、情報の二次流出を防ぐことができます。(2)ARGUSサーバ

ARGUSサーバは、ログ管理サーバ、ポリシー管理サーバ、ファイル管理サーバから構成されます。ログ管理サーバは、定期的にPCからログを吸い上げ、全社ログ管理サーバに蓄積します。ポリシー管理サーバは、管理下のPCに対して、人(ID)、

ARGUSの機能と構成

図2 ARGUSの機能構成

J103.indd 3J103.indd 3 07.1.29 9:18:45 PM07.1.29 9:18:45 PM

Page 4: NECグループにおけるITによる情報漏えい防止の取り組み ~情報 … · 以上の分析により、necグループでの情報漏えい事故 を防ぐため、下記の機能を有するシステムを実現するこ

45NEC技報 Vol.60 No.1/2007

2006年度下期より、一部の部門でARGUSの先行導入を開始しています。2006年度は、情報漏えい対策のニーズが高いプロジェクトに対し導入を進め、2007年度より、本格的にNECグループへの導入を開始する予定です。

PC、モバイルメディアの管理ポリシーを配付し、組織としての統制を可能にします。たとえば、会社指定のUSBメモリ以外は使用不可というようなコントロールを、管理ポリシーを配付し、強制します。ファイル管理サーバは、ARGUSクライアント上の仮想フォルダと、実際のファイルの保存場所であるファイルサーバ/ストレージサービスとのリンケージを管理します。(3)全社ARGUSセンター

全社ARGUSセンターは、ログを集中管理しNECグループ全体の統制を行います。また、ARGUSサーバは、全社ID/ドメイン管理と連携し、人(ID)の管理を行います。(4)ファイルサーバ/ストレージサービス

ARGUSクライアントにより暗号カプセル化されたファイルを保存します。ここに保存されたファイルに対する操作は、操作ログとして記録されます。

情報の受け渡しのルートと流出のリスク(図1)に対する、ARGUSでのリスクコントロール策を表に示します。ARGUSでの管理は、安全なサーバに暗号カプセル化し

たファイルを保管し、必要な情報を必要な期間だけ持ち出すことが基本となります。 したがって、ARGUSの管理は、情報を入手したら、まず、安全なPCあるいはモバイルメディアに一時的に格納し会社に持ち帰り、ARGUSサーバを介しファイルサーバ/ストレージサーバに保存することから始まります。これにより、ARGUSによる管理追跡が可能になります。

導入の効果

業務委託先不適切な

業務委託先作業員の事故

許可された環境で利用可能

表 ARGUSでのリスク・コントロール策

執筆者プロフィール

田村 卓IT戦略部マネージャー

今後の予定

神田 昌彦IT戦略部シニアマネージャー

J103.indd 4J103.indd 4 07.1.29 9:18:45 PM07.1.29 9:18:45 PM


共通する苦情の要因...1 共通する苦情の要因 156 サービス種別を問わず苦情に至るケースには、以下のような共通した要因が見受けられる。事

共通する苦情の要因...1 共通する苦情の要因 156 サービス種別を問わず苦情に至るケースには、以下のような共通した要因が見受けられる。事

Documents
情報セキュリティ - NEC(Japan) · 2017. 7. 6. · 情報資産を守るための情報セキュリティの取り組みとしては、「情報セキュリティマネジメント」「情報セキュリティ基盤」「情報セキュ

情報セキュリティ - NEC(Japan) · 2017. 7. 6. · 情報資産を守るための情報セキュリティの取り組みとしては、「情報セキュリティマネジメント」「情報セキュリティ基盤」「情報セキュ

Documents
情報セキュリティ報告書...2012/05/30  · (3) 情報セキュリティ監査の拡充による情報セキュリティ対策の充実・強化 (4) 情報システム運用継続計画(IT-BCP)の取組による情報システム危機管理の強化

情報セキュリティ報告書...2012/05/30  · (3) 情報セキュリティ監査の拡充による情報セキュリティ対策の充実・強化 (4) 情報システム運用継続計画(IT-BCP)の取組による情報システム危機管理の強化

Documents
企業内情報の有効利用を促進! 情報ダシボドよる情 …...企業内情報の有効利用を促進!情報ダシボドよる情報ダッシュボードによる

企業内情報の有効利用を促進! 情報ダシボドよる情 …...企業内情報の有効利用を促進!情報ダシボドよる情報ダッシュボードによる

Documents
20120727 学校における教育の情報化の実態

20120727 学校における教育の情報化の実態

Documents
個人情報の保護に関する指針 17. 2. 9 · 生存する個人に関する情報であって、特定の個人を識別することができるもの(他の情報と容易に照合

個人情報の保護に関する指針 17. 2. 9 · 生存する個人に関する情報であって、特定の個人を識別することができるもの(他の情報と容易に照合

Documents
アカデミアにおける情報通信マ ネジメント研究の実情icm/jpn/activities/icm-22-slide1.pdf · 2012-08-07 · アカデミアにおける情報通信マ ネジメント研究の実情

アカデミアにおける情報通信マ ネジメント研究の実情icm/jpn/activities/icm-22-slide1.pdf · 2012-08-07 · アカデミアにおける情報通信マ ネジメント研究の実情

Documents
米国の最新事情にみる 「オウンドメディア」の活用法

米国の最新事情にみる 「オウンドメディア」の活用法

Business
横浜市の保有する情報の公開に 関する条例の解釈・運用の手引 ... · 2019-06-24 · 横浜市の保有する情報の公開に 関する条例の解釈・運用の手引

横浜市の保有する情報の公開に 関する条例の解釈・運用の手引 ... · 2019-06-24 · 横浜市の保有する情報の公開に 関する条例の解釈・運用の手引

Documents
Linq プラットホームベンダー の情熱(を感じる)

Linq プラットホームベンダー の情熱(を感じる)

Documents
歯科衛生過程の考えかた20 情報処理 情報収集 対象者の情報を 収集する 情報の分類・整理 収集した情報を分類し,問題の有無を見分ける

歯科衛生過程の考えかた20 情報処理 情報収集 対象者の情報を 収集する 情報の分類・整理 収集した情報を分類し,問題の有無を見分ける

Documents
⽇本⼈の表情がエクマンの理論とは異なることを実証...図2. AIによるエクマン理論での感情の判別の結果。各グラフが写真あるいはシナリオでの感情の条件を表

⽇本⼈の表情がエクマンの理論とは異なることを実証...図2. AIによるエクマン理論での感情の判別の結果。各グラフが写真あるいはシナリオでの感情の条件を表

Documents
Wikipedia における情報の質

Wikipedia における情報の質

Technology
介 護 保 険 最 新 情 報...記 1.情報の把握 事業所の職員は、災害発生直後にテレビ、ラジオ等の報道による津波情報、 気象情報等に関する情報の収集につとめること。また、事業所の管理者は、消

介 護 保 険 最 新 情 報...記 1.情報の把握 事業所の職員は、災害発生直後にテレビ、ラジオ等の報道による津波情報、 気象情報等に関する情報の収集につとめること。また、事業所の管理者は、消

Documents
詳細情報を見る 本機の本体情報を変更する - …car.panasonic.jp/support/manual/navi/data/rs01d_wd/rs01d...132 133 登録・接続 BLUETOOTH 対応機器の詳細情報を見る/本機の本体情報を変更する

詳細情報を見る 本機の本体情報を変更する - …car.panasonic.jp/support/manual/navi/data/rs01d_wd/rs01d...132 133 登録・接続 BLUETOOTH 対応機器の詳細情報を見る/本機の本体情報を変更する

Documents
石川県下における河川に関する 情報の提供について...水位・雨量情報,ダム諸量,海岸情報,CCTV画 石川県内の現在発生している防災情報,過去の防災情報等

石川県下における河川に関する 情報の提供について...水位・雨量情報,ダム諸量,海岸情報,CCTV画 石川県内の現在発生している防災情報,過去の防災情報等

Documents
海岸情報の収集・共有化に関する研究 · 海岸情報の収集・共有化に関する研究 ... らのリアルタイムな情報の取得を重視した。 ... 災害、事故等の情報

海岸情報の収集・共有化に関する研究 · 海岸情報の収集・共有化に関する研究 ... らのリアルタイムな情報の取得を重視した。 ... 災害、事故等の情報

Documents
気象情報提供サービスにおける 災害リスク情報の活 …...気象情報提供サービスにおける! 災害リスク情報の活用について! ーウェザーリポートの可能性ー

気象情報提供サービスにおける 災害リスク情報の活 …...気象情報提供サービスにおける! 災害リスク情報の活用について! ーウェザーリポートの可能性ー

Documents
情報セキュリティポリシーに関する ガイドライン...- 7 - 認識するべきである。また、情報セキュリティポリシーの中には、継続的な情報収集及びセキュリティ確保の

情報セキュリティポリシーに関する ガイドライン...- 7 - 認識するべきである。また、情報セキュリティポリシーの中には、継続的な情報収集及びセキュリティ確保の

Documents
情報理論の基礎 - 新潟大学lee/jyugyou/info_system/medsys...情報1:S君の部屋は16室の11号室である. 情報2:S君の部屋は3階にある. 情報3:S君の部屋は左から3番目の部屋である.

情報理論の基礎 - 新潟大学lee/jyugyou/info_system/medsys...情報1:S君の部屋は16室の11号室である. 情報2:S君の部屋は3階にある. 情報3:S君の部屋は左から3番目の部屋である.

Documents
Title 幼児期における感情表出の調整に関する理解の発達 …- 503- 溝川:幼児期における感情表出の調整に関する理解の発達 幼児期における感情表出の調整に関する理解の発達

Title 幼児期における感情表出の調整に関する理解の発達 …- 503- 溝川:幼児期における感情表出の調整に関する理解の発達 幼児期における感情表出の調整に関する理解の発達

Documents
クラウド・コンピューティングにおける個人情報保護の曪上: クラウド・コンピューティングにおける個人情報保護の課題 情報セキュリティ総合科学

クラウド・コンピューティングにおける個人情報保護の曪上: クラウド・コンピューティングにおける個人情報保護の課題 情報セキュリティ総合科学

Documents
私が考える教科「情報」像と 情報科の課題 · 「情報の科学」の改善案と同様に – 「機械情報」を主に扱っているので、「社会情報」

私が考える教科「情報」像と 情報科の課題 · 「情報の科学」の改善案と同様に – 「機械情報」を主に扱っているので、「社会情報」

Documents
インターネットにおける情報の知的利用 · 定の情報を探しているかなど)の違い、対象 領域の違いまである。 (2) 情報利用者は相互依存的である。

インターネットにおける情報の知的利用 · 定の情報を探しているかなど)の違い、対象 領域の違いまである。 (2) 情報利用者は相互依存的である。

Documents
スポーツにおけるサプリメントの製品情報 公開の枠 …スポーツにおけるサプリメントの製品情報 公開の枠組みに関するガイドライン

スポーツにおけるサプリメントの製品情報 公開の枠 …スポーツにおけるサプリメントの製品情報 公開の枠組みに関するガイドライン

Documents
Canonet/HOME ユーザーズマニュアルID情報を編 集する メールの管理 メールアドレスのユーザ情 報を変更することができま す。 ユーザ情報

Canonet/HOME ユーザーズマニュアルID情報を編 集する メールの管理 メールアドレスのユーザ情 報を変更することができま す。 ユーザ情報

Documents
Title 表情表出による情動調整の日常経験に関する調 …...表情表出による情動調整の日常経験に関する調査 野口 素子 >/>, e 8 情動調整(emotion

Title 表情表出による情動調整の日常経験に関する調 …...表情表出による情動調整の日常経験に関する調査 野口 素子 >/>, e 8 情動調整(emotion

Documents
3.4.3 広域連携のための情報コンテンツの構築 · した場合における組織間でやりとりする情報を抽出したものである。これらの情報は図3のもの

3.4.3 広域連携のための情報コンテンツの構築 · した場合における組織間でやりとりする情報を抽出したものである。これらの情報は図3のもの

Documents
韓国における経済・産業事情と その情報の入手2 資料の構成 韓国の経済・産業事情歩み、問題点、日韓交流 情報の入手と問題点 経済・産業事情に関する情報

韓国における経済・産業事情と その情報の入手2 資料の構成 韓国の経済・産業事情歩み、問題点、日韓交流 情報の入手と問題点 経済・産業事情に関する情報

Documents
情報セキュリティセミナー 2007 - IPA情報セキュリティ白暯2007 年版 第第第第1111位位位位 漏 漏漏漏えいええいいえい情報 情報のののWinnyのWinny※※※※によるによる止

情報セキュリティセミナー 2007 - IPA情報セキュリティ白暯2007 年版 第第第第1111位位位位 漏 漏漏漏えいええいいえい情報 情報のののWinnyのWinny※※※※によるによる止

Documents