 |
|
|
| 前のページ 1 2 3
|
|
| その他の想定事故例と対策例
|
いくつか最近の事故例を見ながら、対策例をご紹介しました。ただし、これらは考えられる対策のごく一部です。多くのお客様の導入に立ち会いますと、お客様の数だけ、様々な事故の想定と対策があります。ここでそれらの例の一部をご紹介します。
|
| 想定事故例とその対策例〜その1
|
ある病院では、個人ごとにカルテファイルを生成して管理していました。これらのファイルがメール添付で病院外に流出することを避けたいという要望がありました。
病院のクライアント(患者)にはクライアントIDが振られて、必ずカルテファイルには記載されています。またクライアントIDは「数字4桁、ハイフン、数字9桁」になっているので、この文字列を含むデータを送る場合は保留するようすることで防止できます。
設定としては、「本文(添付を含む)に、"[0-9]{4}-[0-9]{9}"の正規表現が1回以上存在する」場合は、そのメールを「削除して管理者に通知」する設定にします。
このように特定のフォーマットのIDを含むケースは多いので、カルテ以外にも適用できます。
|
| 想定事故例とその対策例〜その2
|
小規模なECサイトを運営しているお客様で、顧客のクレジットカード番号を含むファイルを管理されていました。そのファイルの漏洩は絶対に避けたいという要望がありました。
この場合、どのような対策が考えられるでしょうか。
クレジットカード番号の文字列を思い浮かべてください。その1の例と同様に正規表現のマッチングで防止できることが想像できると思います。ただし、American Expressだけ桁数が違うので注意が必要です。
|
| 想定事故例とその対策例〜その3
|
社員以外に外注の人が社内にいるという会社様の例です。外注の人と社員の人はメールでのコミュニケーションをしているが、外注の人が社外に情報の漏洩をしないようにしたいというものでした。
このような場合における防止策にはいくつか方法がありますが、一例としては、外注の人のメールアドレスを登録しておき、そのメールアドレス群を1つのグループ(これを仮に「外注グループ」と呼びます)にまとめます。また、社員のメールアドレスを登録しておき、そのメールアドレス群を1つのグループ(「社員グループ」とします)にまとめます。その上で、以下のような設定を行います。
「外注グループ」から「社員グループ」へのメール:送信許可
「外注グループ」から「その他」へのメール:削除する
なお、「外注グループ」や「社員グループ」の人数が多いと、ソフトウェアの種類によっては、人数分のメールアドレスをすべて登録しなければならない場合があり、注意が必要です。例えば、「外注グループ」と「社員グループ」に1,000人ずついた場合、合計2,000のメールアドレスを登録管理することになります。
この点を効率的に解決するには、次のようなことが求められます。こうすることで、「外注グループ」「社員グループ」が仮に1,000人ずついた場合でも、1回ずつ登録すればよいので効率よく管理できます。
- 外注グループと社員グループで異なるドメインやサブドメインのメールアドレスを持たせる
- ドメイン(またはサブドメイン)をまとめてグループ指定できるソフトウェアを選択する
表3:ドメインを活用した管理方法
HDE Mail Filterでは、メールグループの登録で、「@example.com」を登録すると、「〜@example.com」のアドレスがすべて指定できます。また、「.example.com」を登録すると、「〜@〜.example.com」(サブドメインを含むすべてのドメイン配下のアドレス)を指定できます。
図3:ドメイン指定による防止例 (画像をクリックすると別ウィンドウに拡大図を表示します)
|
| 情報漏洩防止にかける予算は?
|
いくつかメールのフィルタリングの実例を見てきました。では、こういった情報漏洩防止のシステムを導入しようとした場合に、予算がどのくらい取れるでしょうか。
基本的にはリスク対応の予算なので、事故があった企業はさておき、予算がなかなか獲得がしづらいのが実情です。
そこで次回は、どのように予算取りをしていくのか例を紹介します。また、ソフトウェアの選定の基準などについても触れていきたいと思います。
|
前のページ 1 2 3
|
|
本記事で、事故例として引用したものはいずれも各社のホームページ上に2006年9月1日時点で記載されていたものです。各社とも今後漏洩をしないための対策についても、同じホームページ上に発表されております。
|
|
|
|
著者プロフィール
株式会社ホライズン・デジタル・エンタープライズ 宮本 和明
代表取締役副社長。1997年からLinuxに関するビジネスに取り組み、サーバ管理ソフトウェアHDE Controller、電子メールエンジンHDE Customers Careなどのパッケージソフトウェアの開発に携わる。金融・流通・自治体など様々な業種の電子メール関連システムにも携わり、今後のメールシステムの行く末を見守り続けている。
|
|
|
|
|
|
