2.10.4 操作ログに基づく不審操作の調査

コンピュータの利用者の操作を操作ログとして取得できます。

また、セキュリティポリシーに不審と見なす操作の条件を設定することで、情報漏えいにつながる不審な操作が自動的に検知されるようになります。操作ログを収集して不審操作を検知させることで、情報漏えいのおそれのある操作が発生するとすぐにチェックできるので、被害が大きくなる前に対処できます。

操作ログを収集して不審操作を調査する流れを次の図に示します。

[図]

不審操作を検知するためには、セキュリティポリシーに不審と見なす操作の条件を設定する必要があります。この条件を設定したセキュリティポリシーが適用されているコンピュータに対して、不審操作を検知できます。

ファイルの持ち出しが検知された場合、機密情報が漏えいするのを防ぐために該当するファイルの出所を調査する必要があります。不審操作が検知されると、「不審操作」のイベントとして通知されます。このイベントから、検知された操作ログを確認し、持ち出されたファイルの出所を追跡調査できます。

参考
操作ログは、ioutils exportoplogコマンドを実行してエクスポートすることもできます。操作ログの内容を資料に使用したい場合などは、エクスポートすることをお勧めします。

関連リンク

この項の構成
(1) 監視できる不審操作の種類

(1) 監視できる不審操作の種類

JP1/IT Desktop Managementでは、操作ログの内容を自動的にチェックして、情報漏えいのおそれがある操作を不審な操作と見なして監視できます。

セキュリティポリシーで、不審と見なす操作を指定して、不審と見なす場合の条件を設定してください。

不審と見なす操作

監視対象になるファイルは次の条件を満たすものです。

監視対象のファイルを入手した時点では、不審な操作としては見なされません。監視対象のファイルを持ち出した場合に、不審な操作と見なされイベントが発生します。

添付ファイル付きメールの監視例
例えば、次に示す内容で監視したい場合、図のように設定してください。
  • 社外への添付ファイルの転送は監視する。
  • 社内(アドレスが「hitachi.co.jp」)での、添付ファイルの転送は監視しない。

[図]

Webサーバ/FTPサーバの監視例
例えば、次に示す内容で監視したい場合、図のように設定してください。
  • WebサーバAのデータは公開できるデータのため、外部へのアップロードは監視しない。
  • WebサーバBのデータは重要データのため、外部へのアップロードを監視する。

[図]

不審操作を監視できるサポート製品は、操作ログを取得できるサポート製品と同じです。詳細については、「2.10.1 取得できる操作ログの種類」の注※1、2、および4に記載されているサポート製品を参照してください。

注意
対象のコンピュータのファイルシステムがNTFSの場合だけ、不審操作として正しく検知できます。NTFSでない場合は、持ち込み元情報が設定されず、不審操作として正しく検知できないときがあります(大量印刷の不審操作は除きます)。