1.8.2 情報が持ち出された形跡を調査する流れ
情報が持ち出されたおそれがある場合は、形跡を調査して問題の有無を早急に確認する必要があります。
JP1/IT Desktop Management 2を利用することで、各コンピュータが操作された形跡がないか、不明な機器がネットワークに接続されていないか、各コンピュータに不正アクセスに関するセキュリティ設定がされているかを調査できます。
情報が持ち出された形跡を調査する流れを次に示します。
- 1.操作ログを確認する
-
各コンピュータから収集された操作ログを確認することで、各コンピュータの操作状況を確認できます。第三者によるログインの形跡や不審な持ち出し操作があった場合は、操作ログから持ち出されたデータを確認して対処を検討する必要があります。
- 2.新規に接続された機器を確認する
-
不明な機器が組織内のネットワークに接続されている場合、その機器から情報が漏えいするおそれがあります。ネットワークを探索することで、組織内のネットワークに新規に接続された機器がないかどうかを確認できます。
- 3.コンピュータのセキュリティ設定を確認する
-
コンピュータに不正アクセスできるようになっていると、第三者にコンピュータを操作されて情報漏えいが発生するおそれがあります。管理対象のコンピュータのセキュリティ設定を確認して、問題があった場合は対策します。
情報が持ち出された形跡がないかどうかを確認できます。
(1) 操作ログを確認する
各コンピュータから収集された操作ログを確認することで、各コンピュータの操作状況を確認できます。第三者によるログインの形跡や不審な持ち出し操作があった場合は、操作ログから持ち出されたデータを確認して対処を検討する必要があります。
操作ログは、セキュリティ画面の[操作ログ]−[操作ログ一覧]画面で確認できます。
データベースに存在しない操作ログは、管理用サーバに過去の操作ログを取り込んで確認します。すべての操作ログを取り込むと時間が掛かるため、持ち出されたデータの中から持ち出したコンピュータを絞り込んでから、取り込んでください。
収集された操作ログは、一つ一つ追跡調査する必要があります。このため、調査の際は幾つかの観点で対象の操作ログを絞り込むことをお勧めします。例えば、情報持ち出しが発生したおそれがある場合に操作ログを調査するときは、次のような観点で操作ログを確認します。
- 操作された時間帯のログを確認する
-
持ち出しに関する操作が発生した時間帯がわかっている場合は、はじめに時間帯で操作ログを絞り込んでおくと、効率良く操作ログを確認できます。操作ログの一覧で、フィルタの条件に[操作時刻]と時間帯を指定することで、確認したい操作ログを時間軸で絞り込めます。
- 操作の種類を限定してログを確認する
-
持ち出しに関連する操作だけに絞り込むことで、効率良く操作ログを確認できます。操作ログの一覧のフィルタで、例えば次のような条件を指定します。
-
[操作種別]が[ファイル操作]、[印刷操作]、[デバイス操作]
-
[操作種別(詳細)]が[ログオン]、[ファイルコピー]、[ファイルアップロード]、[ファイル送信]、[デバイス区分]
また、[発生元]、[部署]、[設置場所]、[ユーザー名]などの条件でフィルタを利用して、持ち出したコンピュータを絞り込んでください。
-
- 持ち出されたコンピュータを基に確認する
-
重要データが保管されているサーバやNASなど、特定のコンピュータから持ち出されていないかどうかを確認できます。操作ログの一覧で、フィルタの条件に[発生元]とコンピュータ名を指定することで、特定のコンピュータから情報が持ち出されていないかどうかを確認できます。
確認の結果、持ち出しが発生したおそれがある場合は、操作ログが取得されたコンピュータの利用者に状況を確認して対策を検討します。
関連リンク
(2) 新規に接続された機器を確認する
不明な機器が組織内のネットワークに接続されている場合、その機器から情報が漏えいするおそれがあります。ネットワークを探索することで、組織内のネットワークに新規に接続された機器がないかどうかを確認できます。
探索結果は、設定画面の[機器の探索]−[探索履歴の確認]−[ネットワークの探索]画面で確認できます。
[ネットワークの探索]画面に表示された機器に、不明な機器がないかどうかを確認してください。[探索履歴の確認]の一覧で、[今回新規発見]のフィルタを利用すると、新規接続された機器を素早く確認できます。
不明な機器があった場合は、ネットワークアドレスを基に機器を確認します。
関連リンク
(3) コンピュータのセキュリティ設定を確認する
コンピュータに不正アクセスできるようになっていると、情報漏えいが発生するおそれがあります。管理対象のコンピュータのセキュリティ設定を確認して、問題があった場合は対策してください。
コンピュータのセキュリティ設定の状況は、セキュリティ画面の[機器のセキュリティ状態]−[機器一覧]画面で確認します。危険レベルが「危険」、「警告」、または「注意」の場合、そのコンピュータはセキュリティ設定に問題があるおそれがあります。[機器一覧]画面で確認したい機器を選択して、[OSのセキュリティ設定]タブまたは[ユーザー定義のセキュリティ設定]タブを選択すると、セキュリティ設定項目ごとに安全な状態かどうかを確認できます。
安全ではないセキュリティ設定があった場合は、強制的に設定を変更して対策できます。[セキュリティ対策を実行]ボタンをクリックして、表示されるダイアログで対策したい項目を選択して[OK]ボタンをクリックしてください。
- ポイント
-
セキュリティ設定の状況は、セキュリティ詳細レポートからも確認できます。セキュリティ設定に関するセキュリティ詳細レポートを表示するには、レポート画面の[セキュリティ詳細レポート]−[セキュリティ設定の状況]を選択してください。