ISO 27001が最後に更新したのは2013年であり、この10年間でネットワークの利用は広がり、接続デバイスも増えました。PCや携帯電話に加えて車両・デバイス・家電製品などもインターネットに接続できるようになりました。これにより、ネットワーク攻撃やランサムウェアの蔓延など新たなネットワークの脅威が増加しました。新興のネットワーク脅威に対応するため、ISO 27001は2022年10月25日に情報セキュリティ、サイバーセキュリティ、プライバシー保護のための情報セキュリティ管理策の改訂版を発表しました。この改訂版では、主文に6項目の新規項目と8項目の変更が追加され、付録Aの制御カテゴリは15から4に減少し、11の管理策が追加されました。本稿では、主に8.12 情報漏洩保護について説明します。これはISO 27001改訂版で、情報セキュリティ管理オペレーションISO 27002で明確に取るべき情報漏洩防止措置だと指示されている項目です。
ISO 27002 付録A 8.12 情報漏洩保護 DATA LEAKAGE PREVENTION
目的:個人やシステムによる未承認の情報の漏洩と抽出を検出および防止します。情報漏洩防止措置は、機密情報を処理・保存または転送するシステム・ネットワークおよび他のすべてのデバイスに適用するべきです。
ガイダンス:組織は以下の事項を検討して情報漏洩のリスクを低減する必要があります。
1. 情報の識別と分類(Identify & Classifying)
洩漏を防ぐべき情報を識別します。例えば、個人情報・ユーザプライバシー・営業秘密などです。
組織内には多くの機密情報があり、使用状況・転送状況・保存状況などが異なります。これらの要素を識別し、情報が漏洩する可能性のあるチャネル(例:データがメールで送信される可能性、USBメモリから持ち出される可能性、クラウドストレージにアップロードされる可能性)を把握する必要があります。情報漏洩のチャネルを知ることで、それぞれのチャネルに対してフィルタリングや制御を行うことができます。
2. 情報漏洩チャネルの監視と検出(Monitoring & Detecting)
現在、企業内で主に文書を取り扱っているのはPC端末です。PCには以下のような漏洩の可能性があるチャネルがあります。USBドライブ・CD/DVDドライブ・プリンタ・スマートフォンなどの物理デバイス・ネットワーク通信経由のネットワーク共有・クラウドストレージ・インスタントメッセンジャー(SNS)・ウェブ・メールなどがあります。
3. 情報漏洩を防止するための対策
個人の操作・ネットワークアクセス・データ転送による機密情報の漏洩を阻止します。例えば、個人情報が含まれるウェブページのコピーを禁止し、外部ドライブへのファイル書き込みには承認を要求するなどです。同時に、条文は以下のように述べられています。
"組織は、ユーザが組織外のサービス、デバイス、およびストレージメディアへのデータコピー、貼り付けまたはアップロードを制限する必要性を特定すべきです。このような場合、組織は情報漏洩防止ツールを実装するか、組織内でリモートに保存されたデータの表示と操作を許可しつつ、組織外でのコピーと貼り付けを禁止しすべきです。データのエクスポートが必要な場合は、データの所有者が承認し、ユーザが自身の行動に責任を持つようにする必要があります。"
情報漏洩防止をTSFでサポート
情報漏洩防止ツール(DLP:Data Leakage Prevention)は、情報の識別・使用および移動の監視を目的とし、情報の漏洩を防止するための措置を講じます。(例えば、ユーザに危険な行動に注意するよう警告したり、データの外部記憶デバイスへの転送を阻止したりします)
一般的な管理手順に加えて、ISO 27001では情報漏洩防止ツール(DLP:Data Leakage Prevention)の使用が推奨されています。FineArtのTotalSecurityFortには、情報漏洩防止・IT資産管理・データ保護・EDRなどの広範なソリューションがあり、さまざまな漏洩チャネルを管理できます。下記は、TSFがサポートする漏洩チャネルの制御機能を例です。情報漏洩防止ツール(DLP)を使用することで、ISO 27001の要件を導入する企業は効果的に作業を行うことができます。
PC自体や周辺機器で情報漏洩する可能性のあるチャネルの制御方法
- 外部記憶デバイス(USBドライブ・外部HDD):使用禁止・読み取り専用・ファイル出力ログの記録とバックアップ・出力承認申請。ファイル出力時の暗号化
- MTPデバイス(スマートフォン・デジタルカメラ):MTPデバイスへのファイル出力禁止・ファイル出力ログの記録とバックアップ
- プリンタの制御:プリンタでの印刷禁止・印刷ログとバックアップ・印刷時にウォーターマークの強制追加 • PCのハードディスク:MBRハードディスクの保護・BitLockerハードディスク暗号化に対応してデータのコピーを防止
- CD/DVDドライブ制御:書き込み禁止またはX-Burn書き込みソフトウェアの提供・書き込みログ記録とバックアップ
- その他のデバイスの制御:Bluetooth・無線LANカード・VMソフトウェア・リモートコントロールソフトウェアなど漏洩の可能性のあるすべてのチャネルを使用禁止
- 共有フォルダ制御:外部PCが組織内に侵入してネットワーク共有を介して機密情報を盗み取ることを防止し、書き込みログ記録とバックアップを提供
- 通信制御:特定のネットワークセグメントやサービスへのクライアント接続を禁止し、機密情報が存在するネットワークセグメントやサービスに権限のないPCがアクセスできないようにする
- ウェブ閲覧制御:制限されたWebサイト(情報漏洩の懸念があるGmail・Google ドライブなど)の閲覧を禁止
- ウェブ閲覧の特殊制御:特定の作業に必要なWebサイトで情報漏洩の懸念がある場合、その特定のWebサイトに対して操作制御を行います。例えば、ファイルのアップロード禁止・Webサイトへのコピー&ペースト禁止・キーボードの使用禁止・ファイルのアップロードログやバックアップを行います
- クラウド制御:クラウドストレージのWebサイトの閲覧禁止・クラウド同期ツールによる端末ファイルの同期を防止・Microsoft Officeによるクラウドストレージへの直接保存を防止
- 転送制御:インスタントメッセンジャーの制御(使用禁止・ファイルのアップロード禁止・デスクトップ共有禁止・ファイルのアップロードログとバックアップ)、ビデオ会議ソフトウェアの制御(使用禁止・ファイルのアップロード禁止・ファイルのアップロードログとバックアップ)、未許可アクセスポイントへの接続禁止・FTPのアップロードとダウンロードの制御・FTPのアップロードログとバックアップ
- メール制御:許可されたSMTPのみ送信を許可し、Outlookの送信ログをバックアップ