社内の共有サーバー上にあるファイルの、不正コピーを防ぐ方法を探しています。
だいたいはWindowsやsambaで共有フォルダをつくって
ファイルをそこに置いて、みんなで自由に削除やコピーができると思います。
これを、USBへの保存やFTPやヤフーメールなどへ添付して送信などの、
外部へファイルを持ち出せない仕組みを希望しています。
社内LANで使う分には削除や移動・コピーなどを自由にできないと不便なので、
外部へ持ち出せない方法、としてアドバイス頂けますと助かります。
以前、某大企業(非IT系)で働く人が、
やめる際に重要なデータをしこたまとってやめたというのを聞いたことがあり、
セキュリティ対策をしっかりしておこうと思っています。
特にIT系は比較的自由にファイルアクセスができないと
いろいろ不便なので、どうしているのか気になります。
よろしくお願いします。
No.1
61
1
17pt
こんばんわ。
やりたい事をファイルサーバ上の設定だけではおそらくきっと無理です。
実現方法は次の通りです。
1.USBストレージへのコピー
・端末がActive Directory(以下、AD)環境下にあるのであれば、端末がUSBストレージの使用を禁止する
セキュリティルールをAD上で設定する
・http://www.atmarkit.co.jp/fwin2k/win2ktips/629usb2/usb2.html
2.FTPの利用
・社外にFTPされないように、社内のファイアウォール上でFTPの通信は、インターネット上と
通信できないように設定する
→通常、通信可能にはしませんが・・・。
・仕事上、企業同士でデータのやりとりにFTPを利用したりしますので、
FTPができる端末を特定しておくのも方法の一つだと思います。
3.Yahooメール(Webメール)の添付
・様々なWebメールがありますが、ファイアウォール上で各WebメールのURLを接続禁止サイトとして登録。
・使用されているファイアウォールのメーカに問い合わせて、メーカが提供しているリストファイルを
読み込む事が可能か確認してみてください。
以上、よろしくお願いします。
No.2
40
17pt
本当に厳しいセキュリティを施すのであれば、USBは殺します。(使えないようにする)
PCも書き込み可能なドライブを持ったPCは導入しません。(フロッピーも不可)
顧客情報などの重要な情報は、物理的にも隔離された部屋に設置します。
顧客情報などの重要な情報は特定の人間だけしかアクセスできないようにします。
さらに重要な情報はイントラネットからも遮断して守ります。
プライバシーマークを取得しようとすると、これぐらいは当たり前って感じで求められます。
不便で不便でしょうがないんですが、
人が本気で不正行為を働こうとするのを防ぐには、これぐらいしなければダメなのだと思います。
どうもありがとうございます。
プライバシーマーク、かなり厳しいのですね。
確かにここまでやれば、流出確率は激減しますね。
ただ、IT仕事の場合、とてつもなく不便で技術者はいやがりそうですねぇ。。。
No.3
174
16pt
USBはグループポリシーで規制できます。
http://www.microsoft.com/japan/windowsserver2003/activedirectory...
完全禁止でなく、ログを取りたいという場合には有料ソフトが必要でしょう。
http://hitachisoft.jp/products/hibun/
FTPはハードウェアのファイアウォールでポートを塞ぎましょう。
どうしても外部と通信が必要という場合には申請ベースで穴開けしてやればいいです。
メールは添付ファイルの種類や容量の制限を行い、フィルタリングしたりログを採取するシステムを導入。
http://www.hitachijoho.com/wiseaudit/product/index.html?banner_i...
http://www.logcube.net/function/deterrent1.html
と、ここまでやっても、最近はhttpsで外部と通信するようなソフトなどもあります。
あとはPCモニター監視ソフトなどを入れたり、シンクライアントを導入してローカルPCには
一切データを置かないようにするなどの処置が必要になります。
予算次第ですが掛けようと思えばきりがありません。
結局は人心に頼るところが多いので、セキュリティ・コンプライアンス教育をしっかり行うことが重要です。
どうもありがとうございます。
FTPはけっこう簡単な更新で常時使うので、そのあたりが悩みどころです。
FTPパスを盗られても、サーバー側でIP制御すればいいのですが、
よそのFTPへファイルを送られるのだけを阻止するのは難しそうですね。
ローカルPCにはデータはありませんが、共有ファイルサーバーのデータを
持って行かれると面倒だなあとちょっと感じてます。
やっぱりIT系はどこも、人心に頼ってるんですかねぇ。
No.4
30610
16pt
>これを、USBへの保存やFTPやヤフーメールなどへ添付して送信などの、
>外部へファイルを持ち出せない仕組みを希望しています。
USBはすべて閉鎖
WEBメールもすべて禁止
FTPも中止(FTP更新できる端末を1台とかにする)
インターネット接続も禁止(ネット端末と作業端末を分ける)
>以前、某大企業(非IT系)で働く人が、
>やめる際に重要なデータをしこたまとってやめたというのを聞いたことがあり、
どんなに厳しくしても、そういう人が出てきます。
誓約書を書かせて、何か起きたときの責任をとってもらう(懲戒解雇とか)とか
そういう心理面でもプレッシャーをかけないと無理です。
どうもありがとうございます。
大変素晴らしいセキュリティですが、
ネットをしてFTPをいじる人間が複数いるため、
日々の作業が一切不可能になるので、参考にできないのが残念です。
No.5
430
16pt
1. 予算がある企業であれば、CWATのようなPC操作のログ取得・操作抑制ソフトを使うのが確実です。(それでも細かい所に不都合はありますが)
2. USBの禁止であれば、ADのグループポリシーで対応可能です。
3. Yahooメール等は、Proxy等サーバ等でのコンテンツフィルターを導入する
4. FTPは通信の制限、もしくは申請のあったIPアドレス(送信元、宛先)にのみ通信を許可等の対策になります。
お金をかけずに希望のことを実現するのであれば、
基本的には、関連するポリシーを禁止として、
必要性のある人にのみ、許可する環境を与えるのが良いと思います。
1台だけ、全操作ログ取得PCを用意して、そのパソコンでのみFTP操作可能とか。
(アップロードについては、POSTメソッドで一定ファイルサイズ以上の
送信を抑止する等 フィルタリングソフトで対応できるものもあります)
以下の3つで、優先順位はどうなりますでしょうか。
1. ユーザ業務を優先したい
2.セキュリティ対策を優先したい
3.コストを優先したい
もちろんそれぞれ、いずれも無視できないと思いますが、
ある程度、順位をつけないと 適切な回答が得られないと思いますよ。
どうもありがとうございます。
プロキシサーバーは興味を持っていますが、
ブラックリスト形式でNGサイトを指定する方法だと、
自分でドメインを取ってアップローダーを設置されるとダメなので、
どうなっているのか詳しく気になるところです。
POSTメソッド制限のフィルタリングがあるようなので、併用になりそうですね。
ログ取得に関しては、暗黙のプレッシャーとして抑制効果は高そうですね。
優先としては、3,2,1です。
大きなコストはかけられないので、
仕組みとしてうまくセキュリティをあげて、
日常業務にも支障がでないような方向で模索しています。
No.6
101
16pt
コンピュータを使うのをやめましょう。
……マジな話です。
コンピュータはプログラムの塊ですから、最終的には「どこかに」プログラムの穴があれば、そこにセキュリティの穴が発生する可能性があります。
というわけにはいきませんから、どこの会社でも守られるべきセキュリティと効率、コストをはかりにかけてやっています。
少なくとも御社の現状では大企業相手の仕事は無理でしょうが、現実的には御社と同程度のセキュリティ意識しか持たない企業も(IT業界でなければ)そう珍しいわけでもありません。
最終的には、セキュリティは職員の心がけで決まります:Winnyを使っていようが、SoftEther(PacketiX)だのSkypeだの使いまくっていようが、きちっと考えればセキュリティは維持できます。ただ、心がけがマネジメントされていることを「客観的に&機械的に」証明することができないから、セキュリティのマネジメントではこの手のソフトを(理由が&必要性がなければ)使用禁止にしているのが一般的、なだけです。
たとえばSkype社は自社で当然Skypeを使っているわけですが、だからセキュリティ侵害が発生したという話は聞きません。SoftEtherだって開発元では当然使っていますし、こちらは巨大組織でも運用例があるはずです。Winnyを通常業務に使うというのはさすがにあまり聞いたことがありませんが、それでもWinny対策ソフトを作っているところでは社内にWinnyが「動いている」のは当たり前の環境でしょう。決して小さい企業ばかりではありません。
辞める社員に鞭を打つような真似をしなければいいんです。
逆に、どんなにセキュリティや損害賠償請求で縛ったとしても、辞めた社員が御社に「報復しよう」と思えばどんなことだってやりますし、できますよ?
社内のシステムを時限装置つきでデータ破壊するプログラムを残していくとか、実例ありましたよね。
どうもありがとうございます。
そうですね。
skype等の会社もセキュリティ対策をしているはずなので、
そういう仕組みのあたりが非常に気になっています。
No.7
26621
16pt
コストは増えますが、監視ツールで常に監視してはどうでしようか、
http://www.hitachi.co.jp/Prod/comp/soft1/jp1/
FTPを例に挙げると、すべての端末でFTPができるのは問題ですね。
FTPの先で更新できる場所を限定する事も必須でしよう。
その上で監視ツールで何をしているか常に監視して、
不適切な操作には警告ができるようすべきでしよう。
sambaはWindows Vistaや7ではセキュリティを弱めないと使えません、
将来これらのOSにアップする場合は、sambaの使用を取りやめる必要があるかもしれません。
パット見セキュリティが弱そうですので、監視ツールで許可するアクションと許可しないアクションを選別する事は必要だとお思います。
まずはじめに、誰がどんな作業が必要かの一覧みたいな物を作成する事をお進めいたします。
その上で、作業する人としない人でファイャーウォールでボート制限も手ではないでしようか。
どうもありがとうございます。
hitachiの監視ツールは、手が出ないほど高額でもなく月額でもないので、
検討する価値はありそうですね。
FTPは今回人が増えて問題を感じたため、
FTPを使わなくて更新できる仕組みを考える必要が出てきました。
監視ツールを入れると、ほぼ問題は解決しそうですね。
ただ、はてなやカヤックが監視ツールを入れてるような気がしないので、
そういうgoogleやyahoo規模までいかないIT系開発企業は
どうなっているのか気になっています。
No.8
178296
16pt
セーフティパス Info Trace TMはどうでしょうか。
http://www.ntt.com/iccard/data/service_ser5.html
多発している情報漏洩の多くが機密情報や顧客データへアクセスできる内部社員からと言われています。
そのような事故の被害を未然かつ最小限に抑えるために、PCのログイン、ログオフ操作から社内LANへのアクセス情報、そしてファイル単位の参照、削除、コピー、タイトル変更の履歴をすべて収集し、アプリケーション操作やプリント出力も記録することができるログ追跡ソフト「セーフティパス InfoTrace」をご提案いたします。
万が一機密データが外部に持出された場合でも、操作ログの追跡で情報流出経路を特定。被害を最小限に抑えるとともに、情報流出の抑止効果ともなるので、内部情報漏洩防止に威力を発揮します。
ログレポートの収集項目、検索機能も充実し、膨大なログデータから情報持出ログのみの追跡や、サーバ上の特定ファイルのアクセス状況の確認などがスムーズに検索できます。もちろんファイル対応だけではなく、メール操作、Web参照のログも取得できますので、インターネット経由の流出時も特定することができます。
漏えい自体は防げませんが、誰から漏えいしたか絞り込むことができ、
そのこと自体が漏えいなどを精神的に防ぐと思います。
プロキシ-でアクセスログを取ることが、社員に対して不正なことをした場合記録が残るという意識を持たせるのと同じように。
御社の場合はそれ以前に色々導入したほうがいいものがあると思いますが・・・
どうもありがとうございます。
アクセスログは必須で、かつ多大な抑制効果があるということは確かそうですね。
いろいろ導入した方がいいもの、というものが何か具体的にあれば教えて頂けると助かります。
dev_zer0
2009/07/30 20:49:09
222
220
b-wind
onigirin
uml
4
2
2
どうもありがとうございます。
一つずつ対策が必要そうですね。
FTP禁止にしても、ファイルアップロードサイトにされると意味ないですねぇ。
アップロードもFTPも使えないと、
今度は簡単な画像アップなどの作業も不可能になるので、悩みどころです。
はてなのようなプログラマーベースのIT系の場合、
多くの人がある程度重要なデータにアクセスしてコピー可能な気がしますが、
だいたい良心に頼るしかない状況なんですかねぇ・・・。