デジタル世界が急速な発展する中で、クラウド・自動化・AIの人工知能は過去の数倍の速度で進化しています。様々な形式のデータの流れが伴い、データは電子ファイルの形で保存と移動がなされ、ファイルの作成・削除・移動・コピー・名前変更・内容編集などの行為が生まれ、ファイル使用の対象者も作成者・ 閲覧者・共同編集者・使用者、権限のないユーザーのロールが存在し、その状況での操作が適切であるか・そのユーザー操作ログがあり、さらには企業や単位内の営業秘密・国家安全・個人情報などの機敏な情報なども含まれるため、いかにして妥当な制御とログ追跡を採用するかが重要な議題になります。
各種法規制、例えば個人情報保護法や情報セキュリティ法・営業秘密法・ISO270001・CMMC・GDPR・TISAXなどにはファイルの操作ログに求められる対応要件があり、TotalSecurityFortのシステムでは各要件に合わせた適切なソリューションを提供できすが、本稿ではファイルの流れを追跡する機能に焦点を当てます。
ファイル操作ログの出口はどこにある?
TSFの機能では、ファイル出力を簡単に分けると2種類のラインに分類することができます。 この2種類を使用してファイル操作の流れを定義し、その動作を記録するかどうか、どのように追跡するかを決めます。
- 物理側
外部記憶デバイス、MTPデバイス、印刷、ファイル操作ログ...など、物理的な記憶デバイスやマシンの操作動作
|
TSF機能 |
ログ説明 |
|
外部記憶デバイス |
保護されたPCによる外部記憶デバイスへのファイル書き込みのログとファイルバックアップ、MTPプロトコルを介したファイル転送のログ記録とファイルバックアップ |
|
プリンタ制御 |
保護されたPCでの印刷のログ記録とファイルバックアップ |
|
操作ログ |
保護されたPC上のローカルおよびネットワークファイルの追加・名前変更・ |
- ネットワーク側
ネットワーク上の転送およびストレージキャリアで、ネットワーク方法を通じた次のようなファイル送信:マイネットワークへのファイル入出力ログ・Webサイト上でのファイルアップロード、ファイル転送制御、メール制御、トラフィックの監視...など
|
TSFモジュール |
ログ説明 |
|
共有フォルダ |
保護PCによるマイネットワーク上のファイルの閲覧、編集、保存のログ |
|
Webサイト |
Webサイトでのアップロード行為のログとバックアップ(例:Gmail、Google Drive、Dropbox、OneDrive…等) |
|
アプリケーション制御 |
メッセージアプリのファイル転送のログ記録とバックアップ |
|
メール制御 |
OutlookとWebメール送信のログ記録とバックアップ |
|
トラフィック監視 |
保護PCのネットワーク上のアップロードおよびダウンロードトラフィックのログ |
どのようなセキュリティポリシーを設定すれば、ログが増えすぎないか?
ファイル追跡のセキュリティポリシーを設定する前に、まずファイルの行為とカテゴリーを分類し、その分類に従ってポリシーを計画することで過剰で雑多なノイズを減らすことができます。雑多なノイズは多くの記憶領域を必要とするだけでなく、監査の難易度を上げるかもしれません。しかし、何がノイズかを定義するのはシステム管理者に委ねられているので、行為の分類とフィルタリングの2つから検討することができます。
- 行為の分類
システムの操作
自動バックグラウンド処理の基礎となるプログラムの動作など
例:system
人為的な操作
ユーザーが意識的に行った操作行為 例:Webサイトアップロード、ファイル編集など
- フィルタリング方式
システムフィルタ
TSFはフィルタ条件を設定することで、人間が意識的に行っていないファイル実行・プログラム実行・ネットワーク上での操作などのログをフィルタリングして保存しないようにすることができ、このような種類のログを除外することでデータの特異性を維持して容量を有効活用することができます。
例:system processを通じた操作
レポートフィルタ
クライアントのすべての操作ログを完全に記録するため、システムの条件もフィルタリングして除外することはありませんが、W-Consoleのフィルタ条件(人・物・時間・場所・物の組合せ)に従って、対象ログに応じた設定をして、明確なログとレポートを提示することができ、人とシステムの操作履歴を同時に保持することができます。
コンテンツフィルタ
正規表現によるファイルコンテンツのフィルタリングで、特定のファイル送信行為(外部記憶デバイス、メッセージアプリ、Webメール、Outlook)に適合している場合、ログ記録またはより厳しい制御を行います。
ファイル操作の監査をどのように行うか
ファイル操作の監査に標準的な答えや方法はなく、企業やグループの属性、さらには重点観察対象によって異なります。 TSF製品の観点での提案と参考として提供できるのは、TSFのW-Consoleが提供するレポートを通じた行動分析です。異なるグループや監査で必要な観点に対応するレポートを設定することができ、対象となる日時・期間・部署・ユーザー等を柔軟に設定して、迅速かつ効果的な監査を実施することができます。
- 観点:ファイル操作 >マイネットワーク上の特定ファイルの削除行為(ファイル数・ユーザー別)
- 観点:ファイル名 > 特定ファイルの使われ方とユーザーの比率
- 観察:ユーザー操作の所属部署の適切性、特定ファイルが不適切な部署のスタッフによって操作されていないか
(例:履歴書が人事部以外のスタッフによって使用されている) - 観点:コンテンツフィルタ> あらかじめ設定したファイルの内容により、該当のファイルが送信された数・割合・担当者を観察する。
- 観点:トラフィックの異常、ネットワークトラフィックの監視により、アップロードされたトラフィックが正常な利用状況でないことを検知すると、その時点から現在までの操作挙動をトレースする