2.10.3 ファイル持ち出しによる不審操作の、操作ログでの調査
コンピュータの利用者の操作を操作ログとして取得できます。また、セキュリティポリシーに不審と見なす操作の条件を設定することで、情報漏えいにつながる不審な操作が自動的に検知されるようになります。情報漏えいのおそれのある操作が発生するとすぐにチェックできるので、被害が大きくなる前に対処できます。
操作ログを収集して不審操作を調査する流れを次の図に示します。
![[図データ]](GRAPHICS/ZU070014.GIF)
不審操作を検知するためには、セキュリティポリシーに不審と見なす操作の条件を設定する必要があります。この条件を設定したセキュリティポリシーが適用されているコンピュータに対して、不審操作を検知できます。
ファイルの持ち出しが検知された場合、機密情報が漏えいするのを防ぐために該当するファイルの出所を調査する必要があります。不審操作が検知されると、「不審操作」のイベントとして通知されます。このイベントから、検知された操作ログを確認し、持ち出されたファイルの出所を追跡調査できます。
- ヒント
-
操作ログは、ioutils exportoplogコマンドを実行してエクスポートすることもできます。操作ログの内容を資料に使用したい場合などは、エクスポートすることをお勧めします。
関連リンク
- 〈この項の構成〉
(1) ファイル持ち出しによる不審操作の取得
JP1/IT Desktop Management 2では、操作ログの内容を自動的にチェックして、ファイル持ち出しによる情報漏えいのおそれがある操作を不審な操作と見なして監視できます。
セキュリティポリシーで、不審と見なす操作を指定して、不審と見なす場合の条件を設定してください。
不審と見なす操作
-
監視対象のファイルを、ポリシーに設定したメールアドレス※1、※2に添付で送信
-
監視対象のファイルを、ポリシーに設定したWebサーバ※1、※2、※3またはFTPサーバ※1、※2、※3にアップロード
-
監視対象のファイルを外部メディアにコピーまたは移動
監視対象になるファイルは次の条件を満たすものです。
-
ポリシーに設定したメールアドレス※1、※4から添付で受信したファイル
-
ポリシーに設定したWebサーバ※1、※3、※4またはFTPサーバ※1、※3、※4からダウンロードしたファイル
-
組織内で新たに作成したファイル
-
操作ログを取得する前から組織内にあるファイル
注※1 設定したアドレスに部分一致または全文一致したアドレスを対象とします。
注※2 どの設定にも一致しないアドレスへのファイル持ち出しは不審な操作と見なします。
注※3 IPアドレスで設定した場合は、ダウンロード元のアドレスに含まれるホスト名をIPアドレスに変換した値と、設定したIPアドレスが部分一致したアドレスを対象とします。
注※4 どの設定にも一致しないアドレスから持ち込んだファイルは監視対象のファイルと見なします。
監視対象のファイルを入手した時点では、不審な操作としては見なされません。監視対象のファイルを持ち出した場合に、不審な操作と見なされイベントが発生します。
- 添付ファイル付きメールの監視例
-
例えば、次に示す内容で監視したい場合、図のように設定してください。
-
社外への添付ファイルの転送は監視する。
-
社内(アドレスが「hitachi.co.jp」)での、添付ファイルの転送は監視しない。
![[図データ]](GRAPHICS/ZU990080.GIF)
-
- Webサーバ/FTPサーバの監視例
-
例えば、次に示す内容で監視したい場合、図のように設定してください。
-
WebサーバAのデータは公開できるデータのため、外部へのアップロードは監視しない。
-
WebサーバBのデータは重要データのため、外部へのアップロードを監視する。
![[図データ]](GRAPHICS/ZU990081.GIF)
-
不審操作を監視できるサポート製品は、操作ログを取得できるサポート製品と同じです。詳細については、「2.10.1 取得できる操作ログの種類」の注※2、3、および4に記載されているサポート製品を参照してください。
- 重要
-
対象のコンピュータのファイルシステムがNTFSの場合だけ、不審操作として正しく検知できます。NTFSでない場合は、持ち込み元情報が設定されず、不審操作として正しく検知できないときがあります。