1.8.1 検知された不審操作を調査する流れ
情報漏えいにつながるような操作をタイムリーに調査するためには、不審な操作があったことを管理者が即座に把握して、状況を素早く調査できる必要があります。
JP1/IT Desktop Management 2を利用して、不審操作が検知されたら自動的に管理者にメール通知されるようにしておくことで、不審操作の発生を即座に把握できます。また、各コンピュータから収集された操作ログを基に、持ち出したデータの出所や最初に持ち出した利用者などを確認できます。
検知された不審操作を調査する流れを次に示します。
- 1.不審操作の自動通知を設定する
-
不審操作が検知された場合に、管理者へ自動的にメール通知されるように設定します。
- 2.不審操作を調査する
-
不審操作が検知されたら検知内容を確認し、問題がある場合は操作ログも確認します。
検知された不審操作の内容を調査して、問題の有無を確認できます。
なお、不審操作を検知するためには、操作ログを収集してセキュリティポリシーに検知の条件を設定している必要があります。
関連リンク
- 〈この項の構成〉
(1) 不審操作の自動通知を設定する手順
不審操作が検知された場合に、管理者へ自動的にメール通知されるように設定します。
不審操作が検知されると、[種類]が「不審操作」のイベントが発生します。このイベントが発生したときに、管理者にメールが通知されるように設定します。
不審操作の自動通知を設定するには:
-
設定画面を表示します。
-
メニューエリアで[イベント]−[イベント通知の設定]を選択します。
-
メール通知の対象となるイベントを指定します。
このとき、各重大度の[不審操作]をチェックしてください。
-
メール通知先のユーザーIDをチェックします。
メールアドレスが設定されていない場合は、ユーザーIDを選択するとメールアドレスを設定できます。
-
[適用]ボタンをクリックします。
不審操作が検知され「不審操作」のイベントが発生すると、指定したメールアドレスにメールが通知されるようになります。
メールで通知される内容を次に示します。
イベントの発生を確認したら、メールに記載されたURLからJP1/IT Desktop Management 2の操作画面を起動して、セキュリティ状況を確認して対策してください。
関連リンク
(2) 不審操作を調査する流れ
不審操作が検知されたら検知内容を確認し、問題がある場合は操作ログも確認します。
ファイル持ち出しによる不審操作の場合は、次の流れで不審操作を調査してください。印刷による不審操作の場合は、操作ログで調査してください。操作ログでの調査については、「(1) 操作ログを確認する」を参照してください。
- 1.検知内容を確認する
-
不審操作が検知されると、[種類]が「不審操作」のイベントが発生します。このイベントの発生状況は、ホーム画面の[イベントの状況]パネルに表示される[不審操作]の件数から確認できます。
[イベントの状況]パネルで括弧内の件数のリンクをクリックすると、イベント画面に移動して、[種類]が「不審操作」で[確認状態]が「未確認」のイベントを確認できます。
イベントの一覧で[内容]欄のリンクをクリックすると、表示されるダイアログで検知された操作ログの内容を確認できます。ここで表示される内容から、情報漏えいの調査が必要かどうかを判断してください。調査が必要と判断した場合は、イベントの一覧で[発生元]欄のリンクをクリックしてください。セキュリティ画面の[操作ログ]画面に移動して、関連する操作ログを確認できます。
- 2.操作ログを追跡調査する
-
セキュリティ画面の[操作ログ]画面で操作ログを追跡調査できます。
操作ログを追跡調査するには、追跡調査したい操作の[追跡]ボタンをクリックして、表示される[操作の追跡]ダイアログの情報を確認してください。なお、[追跡]ボタンが非活性の操作ログは、追跡調査の対象外のログです。
[操作の追跡]ダイアログでは、選択した操作ログが含まれる一連の操作の流れに対して、最初に行われた操作と最後に行われた操作を確認できます。例えば、USBデバイスへのファイルコピーが検知された場合は、どこに格納されていたデータを持ち出したか(最初の操作)、最終的にUSBデバイスへコピーしたか(最後の操作)がわかります。これによって、重要データが持ち出されたかどうかを確認できます。
不審操作の追跡調査が完了します。
調査の結果、情報漏えいが発生したおそれがある場合は、操作した利用者に状況を確認して対策を検討します。