最新の内部情報漏洩対策システム「cwat」について · 2...

内部情報漏洩対策システム

Copyrightc2003-2005 INTELLIGENT WAVE INC. All rights Reserved.

株式会社インテリジェントウェイブ

2005年10月28日


最新の内部情報漏洩対策システム「CWAT」について

2



2005年4月1日個人情報保護法の施行

個人情報の漏洩が発覚した場合は、施行前/後ではこんなに違う。

＜施行前＞＜施行後＞

関連省庁のガイドラインは、「・・・することが望ましい」

本人からの苦情

訴訟

企業独自で苦情処理・自主対策

賠償自主対策

本人からの苦情

賠償命令、法令に基づく強化対策

個人情報取扱業者による苦情処理

認定個人情報保護団体による苦情処理

主務大臣による判定

「・・・しなければならない」とされている事項に対して、必要な措置がこうじられていたか否か。

法第20条個人情報取扱事業者は、その取扱う個人情報の漏洩、滅失又は毀損の防止、その他の個人データの安全管理のために、必要かつ適切な措置を講じなければならない。

法第20条個人情報取扱事業者は、その取扱う個人情報の漏洩、滅失又は毀損の防止、その他の個人データの安全管理のために、必要かつ適切な措置を講じなければならない。＜ガイドライン＞組織的安全管理措置

人的安全管理措置物理的安全管理措置技術的安全管理措置

訴訟

勧告勧告命令命令罰則罰則

3



企業が抱える情報セキュリティリスク

構内ﾊﾞｯｸﾎﾞｰﾝ

ＦＷ

Ｗｅｂｻｰﾊﾞ

顧客情報

経営情報

人事情報財務情報

外部からの不正20％

企業内情報資産

部外者（ﾊｯｶｰ・ｽﾊﾟｲ・ﾃﾛﾘｽﾄ等）

部内者（社員・協力会社等）

侵入侵入

踏み台踏み台

盗聴盗聴

なりすましなりすまし

DOS/DDOSDOS/DDOS

ｳｨﾙｽ･ﾜｰﾑｳｨﾙｽ･ﾜｰﾑ

外部媒体へコピー外部媒体へコピー

不正な印刷不正な印刷

PCの盗難PCの盗難

未管理PCの接続未管理PCの接続

外部へのメール添付外部へのメール添付

PCの紛失・置忘れPCの紛失・置忘れ

印刷放置印刷放置

メール送信ミスメール送信ミス

安易な気持ちでのファイルコピー

安易な気持ちでのファイルコピー

重要ファイルを開いたままで離席

重要ファイルを開いたままで離席

内部からの不正80％

悪意のある行動

過

失

インターネット

4



運用システム監視、侵害時対応策

セキュリティアプローチ①

セキュリティポリシー

Plan策定

Do導入

Check運用

Act評価・見直し

策定基本方針、実施手順対策基準(ポリシー)

評価・見直しシステム監査、ポリシ評価・見直し

セキュリティ管理体制組織統括管理者/体制設置

実施サイクル

セキュリティ教育派遣・契約社員含む全社員対象

セキュリティ情報システム安全なセキュリティ管理を実現するシステム構築

導入教育、物理/技術的措置

5



セキュリティアプローチ②

監査証拠の確保システム運用、業務運用を通した情報の信頼性を証明

犯罪分析被害範囲分析

犯罪状況分析

犯罪防御権限内操作についても制御

情報漏洩犯罪防止の視点

犯罪防止・抑止アクセス権限制御、認証、暗号

ロギング、運用レポート etc・・

監査・組織運営の視点

情報セキュリティの必要性の啓蒙と実施

「何も起させない」「何も起していない証明」

6



セキュリティ対策の三原則

情報資産のＣＩＡを確保すること。

機密性（Confidentiality）

・許可された正常な手続き以外でのデータアクセスやサービスの利用をできないようにする。

機密性（Confidentiality）

・許可された正常な手続き以外でのデータアクセスやサービスの利用をできないようにする。

完全性（Integrity）

・伝送中の情報の消失・改ざん防止。・送受信でのユーザによるメッセージの偽造や送受信否認の防止。

完全性（Integrity）

・伝送中の情報の消失・改ざん防止。・送受信でのユーザによるメッセージの偽造や送受信否認の防止。

可用性（Availability）

・正常な手続きであれば、いつでもデータアクセスやサービスが利用できるようにする。

可用性（Availability）

・正常な手続きであれば、いつでもデータアクセスやサービスが利用できるようにする。

上記の情報セキュリティ三原則は、厳格な企業ルール（セキュリティポリシー）を遵守する有権限者であることが前提として成立する。

7



これまでのセキュリティ対策

個人情報保護法で、「・・・しなければならない」とされている各安全管理措置に対して講じられているこれまでのセキュリティ対策と問題点を以下に整理する。

組織的安全管理措置・就業規則・業務規定・権限規定等

組織的安全管理措置・就業規則・業務規定・権限規定等

人的安全管理措置・秘密保持契約・倫理規定・情報取扱規定・社内教育等

人的安全管理措置・秘密保持契約・倫理規定・情報取扱規定・社内教育等

物理的安全管理措置・外部規制・内部規制

物理的安全管理措置・外部規制・内部規制

技術的安全管理措置・外部からの不正アクセス・内部からの情報漏洩／不正操作

技術的安全管理措置・外部からの不正アクセス・内部からの情報漏洩／不正操作

・BS7799等に基づくセキュリティ

ポリシーの策定

・ポリシー教育の徹底

・実運用状況の監視とポリシー

の見直し及びフォロー

・BS7799等に基づくセキュリティ

ポリシーの策定

・ポリシー教育の徹底

・実運用状況の監視とポリシー

の見直し及びフォロー

・IDカード／入退室管理・個人認証強化（指紋等）・書出ドライブの封印・監視カメラ等

・IDカード／入退室管理・個人認証強化（指紋等）・書出ドライブの封印・監視カメラ等

・F/W、IDSの設置・通信制限・脆弱性診断・暗号化・アクセスコントロール・操作ログ取得・入退室時の監視強化・ウイルス／ワーム対策等

・F/W、IDSの設置・通信制限・脆弱性診断・暗号化・アクセスコントロール・操作ログ取得・入退室時の監視強化・ウイルス／ワーム対策等

・全社の業務運用を調査後、情報

資産、脅威、リスクを明確にし、実

運用レベルのプロシジャ作成に、

多大な時間と費用がかかる。

・セキュリティポリシーを、全社員と

協力会社まで含めて徹底させる

有効な教育手段がない。

・全社の業務運用を調査後、情報

資産、脅威、リスクを明確にし、実

運用レベルのプロシジャ作成に、

多大な時間と費用がかかる。

・セキュリティポリシーを、全社員と

協力会社まで含めて徹底させる

有効な教育手段がない。

＜外部＞

・常に新しい不正アクセス手法が

出現し、次々とOSや主要なAPL

にセキュリティホールが発見され

るため、反復対策が必要。

＜内部＞

・個人認証とアクセス権限規制が

基本となっているため、有権限者

による違反行為は、原則防止でき

ない。

＜外部＞

・常に新しい不正アクセス手法が

出現し、次々とOSや主要なAPL

にセキュリティホールが発見され

るため、反復対策が必要。

＜内部＞

・個人認証とアクセス権限規制が

基本となっているため、有権限者

による違反行為は、原則防止でき

ない。

＜現状のセキュリティ対策＞＜現状の問題＞

8



顧客情報漏洩事件ケーススタディ

カード番号、有効期限、名前等カード情報の大量流出

犯人：外部又は内部関係者（可能性）方法：不正プログラムのデータ外部送信原因：不正プログラム監視不備

4,000万以上

カード決済処理会社C社

2005/06

個人情報、家族/友人の画像データ流出

犯人：自宅侵入者方法：盗難原因：非暗号化顧客データ

32.5万O市公園協会

2005/06

総務省の厳重注意、犯人によるメール等業務妨害

犯人：内部関係者方法：不正アクセス原因：アクセス権限/顧客情報管理不備

2万4632

携帯電話大手N社

2005/02

該当者12万1000人に500円/人金券送付

犯人：内部及び外部委託業者（可能性）方法：顧客情報不正持ち出し（可能性）ログ不足、特定不能原因：アクセス権限/顧客情報管理不備

12.1万リゾート運営大手O社

2005/01

委託業者へ3ヶ月間の指名停止処分

犯人：窃盗犯方法：顧客情報不正持ち出し後盗難原因：アクセス権限/顧客情報管理不備

13万県立

図書館

2004/10

被害等流出原因件数発生元日付

4月1日以降、個人情報が漏洩した事件は50回以上 (6月3日)

9



情報漏洩事件からの教訓とCWAT製品化コンセプト

有権限者による不正は容易にできる有権限者による不正は容易にできる

＜情報漏洩事件からの教訓＞

社内ルールやセキュリティポリシーでは防止できない

社内ルールやセキュリティポリシーでは防止できない

定常的・定期的な監視では、未然に防げない

定常的・定期的な監視では、未然に防げない

人的なミスやウッカリは誰にでもある人的なミスやウッカリは誰にでもある

一部の人を除いては、情報の重要性に対する意識は希薄

一部の人を除いては、情報の重要性に対する意識は希薄

企業で定めたルール違反は、システム防止する。

企業で定めたルール違反は、システム防止する。

有権限者を含め、情報を外部へ持ち出す場合は、企業で定めたルールをシステムが実行する。

有権限者を含め、情報を外部へ持ち出す場合は、企業で定めたルールをシステムが実行する。

情報漏洩に関連する操作を証拠として監査ログに残す。

情報漏洩に関連する操作を証拠として監査ログに残す。

企業が定めたルール以外でも、不審な操作を監視する。

企業が定めたルール以外でも、不審な操作を監視する。

他のセキュリティ技術との連携により、強力なセキュリティゾーンが構築可能なフレームワークとする。

他のセキュリティ技術との連携により、強力なセキュリティゾーンが構築可能なフレームワークとする。

＜CWAT製品化コンセプト＞

あらゆる情報漏洩行為を水際で食い止め、原因を容易に特定できること。

あらゆる情報漏洩行為を水際で食い止め、原因を容易に特定できること。

10



CWATの６大特長

監視と防御のリアルタイム性監視と防御のリアルタイム性

＜CWATの６大特長＞

トータルなセキュリティ機能の実装トータルなセキュリティ機能の実装

他社技術と連携可能なプラットフォーム性他社技術と連携可能なプラットフォーム性

実績の高いAIエンジンの搭載実績の高いAIエンジンの搭載

ワールドワイドで利用可能な技術ワールドワイドで利用可能な技術

監視と防御を全てリアルタイムに動作。（他ソフトウェアは、基本的にリアルタイム性が低い）

監視と防御を全てリアルタイムに動作。（他ソフトウェアは、基本的にリアルタイム性が低い）

情報犯罪をケーススタディして設計された為、総合的な機

能を実装。｢犯罪から守る｣と｢監査される｣ことの両方に対応可能な唯一のセキュリティ・ソフトウェア。

情報犯罪をケーススタディして設計された為、総合的な機

能を実装。｢犯罪から守る｣と｢監査される｣ことの両方に対応可能な唯一のセキュリティ・ソフトウェア。

エージェントによるコンポーネント指向の設計により、あらゆ

る他のコンポーネントを受け入れられる。

エージェントによるコンポーネント指向の設計により、あらゆ

る他のコンポーネントを受け入れられる。

IWIのクレジットカード与信で培われた実績の高い技術を、有権限者による不審操作監視エンジンとして実装。

IWIのクレジットカード与信で培われた実績の高い技術を、有権限者による不審操作監視エンジンとして実装。

プラットフォームとして設計されているため、国内外で利用できる多彩なセキュリティコンポーネントを用意。（暗号等）

プラットフォームとして設計されているため、国内外で利用できる多彩なセキュリティコンポーネントを用意。（暗号等）

豊富な周辺技術との連携（強力な技術パートナの確保）

豊富な周辺技術との連携（強力な技術パートナの確保）

堅牢なセキュリティゾーン構築の必須条件。印刷透かし、DRM、個人認証、ログ分析、暗号化等

堅牢なセキュリティゾーン構築の必須条件。印刷透かし、DRM、個人認証、ログ分析、暗号化等

11



CWATの機能実装のポイント

組織内で利用するパソコンの持ち出し

ネットワークプリンタによる印刷

FD・CD-R等の外部バス接続・書出し

組織内のネットワークに接続された未登録端末

インターネットをイントラネット接続

外部・内部で送受信されるEメール

メール、Web、FTP、TELNET等のサービス

ユーザログオン情報

起動アプリケーション情報

組織内で利用するパソコンの持ち出し

ネットワークプリンタによる印刷

FD・CD-R等の外部バス接続・書出し

組織内のネットワークに接続された未登録端末

インターネットをイントラネット接続

外部・内部で送受信されるEメール

メール、Web、FTP、TELNET等のサービス

ユーザログオン情報

起動アプリケーション情報

1. 情報漏洩ポイントとして、ネットワークとPCのすべ

てを統合監視

2. 有権限者毎のPC操作を監視

3. 企業・組織毎のバリエーションに対応可能なポリ

シー設定

4. ポリシー違反に対するリアルタイムでのオペレー

ションの中止や操作の停止

5. ポリシー違反時の自動対処と管理者による手動

対処

6. 未登録PCのリアルタイム監視と接続拒否

7. ネットワークパケットの監視・制御

8. ネットワークから切り離された場合のポリシー違

反監視

9. ポリシー違反行為時のログ取得

10.不審操作を学習する特異挙動監視

11.既存情報漏洩防止ソリューションとの連携

1. 情報漏洩ポイントとして、ネットワークとPCのすべ

てを統合監視

2. 有権限者毎のPC操作を監視

3. 企業・組織毎のバリエーションに対応可能なポリ

シー設定

4. ポリシー違反に対するリアルタイムでのオペレー

ションの中止や操作の停止

5. ポリシー違反時の自動対処と管理者による手動

対処

6. 未登録PCのリアルタイム監視と接続拒否

7. ネットワークパケットの監視・制御

8. ネットワークから切り離された場合のポリシー違

反監視

9. ポリシー違反行為時のログ取得

10.不審操作を学習する特異挙動監視

11.既存情報漏洩防止ソリューションとの連携

＜情報漏洩防止上の監視・防御ポイント＞＜CWATの機能実装ポイント＞

12



CWATの機能構成

オーガナイゼーションモニタ(OM)

アンノウンターミナルディフェンスコントローラ

(UDC)

オペレーションディフェンスコントローラ

(OPDC)

セグメントディフェンスコントローラ

(SDC)

ネットワーク上の未登録端末を検知

PC・ユーザ情報管理・各種設定ポリシー設定・管理全ログの閲覧・検索リアルタイム監視画面リモート対処各ディフェンスコントローラへの設定情報配布

未登録端末キーワードフィルタリング盗難端末検知ネットワークログ etc...

電源ON/OFFログオン／ログオフ外部接続バスアプリケーションファイル操作持ち出し中のPC不審操作PC操作ログ etc...

未登録端末 etc...

各オプション・メールオプション・盗難オプション・暗号オプション・印刷文書オプション・リカバリーオプション etc...

防御状況のトータル監視

ネットワーク上の漏洩ポイントを防御

PC端末上の漏洩ポイントを防御

13



CWATによる内部情報漏洩対策

ネットワーク監視コンポーネントとPC監視コンポーネント

を分散配置することにより、情報漏洩行為に対して、各

コンポーネント上でリアルタイムな検知と自動対処を即

時に実行できます。

ネットワーク監視コンポーネントとPC監視コンポーネント

を分散配置することにより、情報漏洩行為に対して、各

コンポーネント上でリアルタイムな検知と自動対処を即

時に実行できます。

＜CWATの内部情報漏洩対策機能の特長＞＜CWATにおける監視対象＞

CWATでは、情報漏洩行為を監視するPCとユーザを登録し、

各情報漏洩行為に対するポリシーを設定することにより、

PCとユーザの両方で下記事項の情報漏洩行為の監視が

可能となります。

①ユーザログオン監視

②端末使用監視

③新規外部機器の接続監視

④外部機器の接続監視

⑤外部メディアへの書込み監視

⑥ファイル操作の監視

⑦アプリケーション操作の監視

⑧PrintScreen操作の監視

⑨ネットワーク監視

⑩未登録端末監視

⑪盗難端末監視（オプション）

⑫不審操作監視（特異挙動監視）

⑬Eメール・Webメール監視（オプション）

⑭暗号化監視（オプション）＋DRM（文書操作権限管理）

⑮印刷監視（オプション）

CWATでは、情報漏洩行為を監視するPCとユーザを登録し、

各情報漏洩行為に対するポリシーを設定することにより、

PCとユーザの両方で下記事項の情報漏洩行為の監視が

可能となります。

①ユーザログオン監視

②端末使用監視

③新規外部機器の接続監視

④外部機器の接続監視

⑤外部メディアへの書込み監視

⑥ファイル操作の監視

⑦アプリケーション操作の監視

⑧PrintScreen操作の監視

⑨ネットワーク監視

⑩未登録端末監視

⑪盗難端末監視（オプション）

⑫不審操作監視（特異挙動監視）

⑬Eメール・Webメール監視（オプション）

⑭暗号化監視（オプション）＋DRM（文書操作権限管理）

⑮印刷監視（オプション）

各監視コンポーネント上で検知と対処が行われ、情報漏

洩行為の証拠となる監査ログが取得されるため、運用

時にネットワーク負荷をかけません。

各監視コンポーネント上で検知と対処が行われ、情報漏

洩行為の証拠となる監査ログが取得されるため、運用

時にネットワーク負荷をかけません。

統合監視・管理コンポーネント上で、情報漏洩防止ポリ

シーが一元管理され、分散配置された各監視コンポーネ

ントに適時配布されるため、運用管理が容易です。

統合監視・管理コンポーネント上で、情報漏洩防止ポリ

シーが一元管理され、分散配置された各監視コンポーネ

ントに適時配布されるため、運用管理が容易です。

PCに監視コンポーネントと情報漏洩防止ポリシーが格

納されているため、組織内ネットワークから切り離されて

も、ネットワーク接続時と同様な検知と自動対処ができ

ます。

PCに監視コンポーネントと情報漏洩防止ポリシーが格

納されているため、組織内ネットワークから切り離されて

も、ネットワーク接続時と同様な検知と自動対処ができ

ます。

通常のPC操作状況を学習エンジンにより蓄積している

ため、組織ごとに設定されたポリシーで検知されない操

作や情報漏洩行為に対しても、特異挙動として検知と対

処ができます。

通常のPC操作状況を学習エンジンにより蓄積している

ため、組織ごとに設定されたポリシーで検知されない操

作や情報漏洩行為に対しても、特異挙動として検知と対

処ができます。

14



CWATのセキュリティ対象カテゴリ（既存製品比較）

CWAT

既存製品

監視内容等

暗号

個人認証機器

メー

ル

未登録端末

ネットワーク監視各種アドレス（IP,MACアドレス等）

各種プロトコル（TCP,UDP/IP,FTP等）

パケット情報（サイズ,ポート番号等）

ロギング

ファイル操作制御外部接続バス制御起動ｱﾌﾟﾘｹｰｼｮﾝユーザーログオン電源オン

モバイル

不審操作

盗難

個別カスタマイズ

マルチランゲー

ジ

(

日・英・韓・中

)

CWAT

既存製品

監視内容等

暗号

個人認証機器

メー

ル

未登録端末

ネットワーク監視各種アドレス（IP,MACアドレス等）

各種プロトコル（TCP,UDP/IP,FTP等）

パケット情報（サイズ,ポート番号等）

ロギング

ファイル操作制御外部接続バス制御起動ｱﾌﾟﾘｹｰｼｮﾝユーザーログオン電源オン

モバイル

不審操作

盗難

個別カスタマイズ

マルチランゲー

ジ

(

日・英・韓・中

)

15



CWATによるセキュリティ運用の考え方

ロギング/解析/セキュリティ監査

ポリシーベースアクセス制御メディア、端末/モバイル、ネットワーク(認証、暗号、etc・・)

設定

AIベース不審操作監視/防御アクセス制御されていない行為も対象

注意、勧告

不正な操作に対し、ポリシーベース

でアクセス制御を行う。

ポリシーで制限されていない操作も、

不審であれば警告する。

16



CWAT導入によるセキュリティ強化対策ポイント＜ｾｷｭﾘﾃｨ管理体制の確立＞

経営トップからの権限委譲を受

けたｾｷｭﾘﾃｨ責任者の決定

＜導入環境の整備＞＜PC使用ルールの改善＞

資産管理ソフト等によるPC、使

用ソフト、ネットワークの把握

現状の社内ルールの精査とPC

使用状況の実態を把握

各部門毎の作業リーダの決定 CWAT未サポートリソースの入

替え、または監視対象外判断

セキュリティ強化のための社内

ルールの改善

監視対象事項の決定と制御動

作（禁止、抑止）の確定

サンプルポリシー設定とトライ

アルによる運用方式の確認

本番導入／運用

監査・警告ログ分析

フィードバック

17



進化するCWATセキュリティ強化機能（１）

暗号システムAES、Camellia、

PowerMISTY、C4CS 他

物理セキュリティソリューション

印刷紙他

CWAT内部情報漏洩対策システム

統合プラットフォーム環境

DRMソリューションWEBデータ保護

機密メール保護

PKI/認証システム

TranC’ert、ICカード他

USBメモリCryptstick CCryptstick E

Cshieldstick V

他セキュリティ製品・技術との連携

18



Document Rights Management機能とは？機密文書に対しての、権限管理によるデータ保護機能

機密文書

・管理職ユーザ

→編集可能

・一般社員

→編集禁止

参照/印刷許可

・パート社員

→参照のみ許可

DRM機能によるProtect

・編集 ×・参照 ○・印刷 ○

一般社員

・編集 ×・参照 ○・印刷 ×

パート社員

・編集 ○・印刷 ○

管理職

進化するCWATセキュリティ強化機能（２）

19



今後のCWAT製品の方向性 CWAT次期製品リリース

監視対象クライアントの複数言語対応機能提供

特異挙動検知エンジンの機能強化

個人情報の分散、漏洩を検知、防止機能提供

禁止操作の一時利用承認機能提供

SOA (Service Oriented Architecture)型システム製品提供

「守る」・「証明する」・「つきとめる」ための情報セキュリティマネジメント実現

CWAT 次期製品開発コンセプト

CWAT 次期製品(ｺｰﾄﾞﾈｰﾑ：Skybean) → 2006年2月出荷開始予定（2005年10月現在）

20



今後のCWAT製品の方向性 CWAT次期製品機能例（1）

特異挙動検知エンジンの大幅な機能強化

従来製品：操作を個別に評価し、スコア累積

次期製品：直近に不審操作を行った場合、スコアが上昇

ユーザ操作（例）スコア判定

MS

MSMTPSV

DS

t%

PE

CE

①

②

③

④

中程度

中程度

高い

高い

深夜にログイン

USBメモリを挿す

平常時をはるかに上回る量の印刷

大容量データの書き出し

21



個人情報の分散漏洩、改竄を検知、防止

氾濫する個人情報ファイルの検知と、分散流出をリアルタイムに防止

◆氏名 ◆メールアドレス ◆クレジットカード番号◆住所 ◆電話番号 ◆その他個人情報

検知対象（例）

Eメール送信

外部メディア書出

印刷出力

個人情報データ

氏名：○○太郎℡：03-XXXX-XXXX

･･･････････････････････住所：東京都中央区XX････････････････････

監視サーバ機能Organization Monitor 社内の個人情報を

自動検知警告表示

＠＠操作実行

今後のCWAT製品の方向性 CWAT次期製品機能例（2）

22



金融系：銀行、証券会社、クレジットカード会社、消費者金融、生損保、リース

製造業系：電気、自動者、アミューズメント関連、製薬会社、アパレル

小売業系：百貨店、通信販売会社

サービス業系：旅行会社、SI会社、ネットプロバイダー、マーケティング会社、人材派遣

その他：不動産、地方自治体、学校、健康保険組合

顧客企業例

トライアル及び受注社数実績

2005年6月

“情報セキュリティEXPO”

@東京ビッグサイト１万人動員

セミナー活動等で「CWAT」のブランディング定着

CWAT顧客層の広がり

23



CWAT海外展開の状況

24



ありがとうございました。

SecuritySolution2005

お問合せ先

株式会社インテリジェントウェイブセキュリティシステム事業部営業部E-mail: [email protected]:http://www.iwi.co.jp

〒104-0033 東京都中央区新川1-21-2 茅場町タワーTel 03-6222-7050Fax 03-6222-7141

最新の内部情報漏洩対策システム「cwat」について · 2...

Documents