この文書は、認証ツール、アンチウイルス、IDS / IPSなどの特定のクラスのシステムに関する推奨情報保護対策を示しています。ただし、規制当局は、漏洩(DLP)に対して機密データ保護システムを使用する必要性を直接示していません。 ただし、これらのシステムにより、機密性の確保、情報システムから送信される情報の整合性、セキュリティイベントの記録などの要件を満たすことができます。
では、一見したところ、並列現象である規制と漏れ保護の2つの交点をどこで見つけることができますか? カットの下の詳細。
最初に、DLPシステムの目的についていくつか説明します。 DLPの実装には、次の基本的な目的があります。
- 機密情報の漏洩防止。
- 事件を裁判所に移送する場合の証拠の形成のための事件と違反に関する情報の収集。
- 不正行為の兆候を特定するために、ユーザーアクションのアーカイブと遡及分析を維持します。
長年の経験から、顧客がDLPを使用して解決する多くのタスクが、最も狭く最も具体的なものまであると言えます。 それらをこの資料の範囲外とし、ここでは基本的なものを検討します。
DLPシステムは必須の情報セキュリティツールではないという事実にもかかわらず、このクラスの製品は、前述のドキュメントでFSTECが推奨する多くの対策を実装するために必要な機能を提供できます。
誠実さ
2014年2月11日付のFSTEC方法論文書に記載されている、情報システムと情報(OLC)の整合性を確保するための主な推奨事項から始めましょう。
「OTSL.5-情報システムから送信される情報のコンテンツの制御(アクセスオブジェクトのプロパティに基づくコンテナ 、 および署名、マスクなどの方法を使用して送信が禁止される情報の検索に基づくコンテンツ )、 および情報システムからの情報の不正送信の除外「。規制当局は、情報の内容を制御するためにどのような手段を使用することを提案していますか?また、漏れ保護システムを使用してこれを実装できますか?
保護された情報の違法な転送 。 公衆通信ネットワークおよびそれらへの応答を含むさまざまなタイプのネットワーク接続を介した情報システムからの保護された情報の違法な転送の事実の識別。この手順は、使用する通信チャネルに応じて、2つのDLPコンポーネントの機能を分割して実装されます。
- 保護されたデータの不正な転送についてhttp / httpsプロトコルを介して送信された情報を確認するには、Webプロキシクラスシステムのツールを使用します。
- プロキシサーバーまたはルーターからデータを送信するときにイントラネットトラフィックを分析するために、メールプロトコルを介したファイルとメッセージの転送を監視できます。
リムーバブルメディアへの違法な記録。 保護された情報がアカウントに登録されていないリムーバブルコンピューターストレージメディアに違法に記録されているという事実の検出とそれらへの対応。ワークステーションにインストールされたDLPエージェントは、ユーザーアクションの監視に加えて、ファイルの内容を分析し、ユーザーがUSBにコピーしたり、機密文書を送信して印刷するのをブロックしたりできます。 USBドライブが接続されているという事実はエージェントに記録されます;結果によると、情報セキュリティの専門家はこのドライブをブラックリストまたはホワイトリストに含めることでDLPシステムポリシーを変更できます。
サーバーおよびワークステーション上の保護された情報のストレージの監視 。
共有ネットワークリソース(共有フォルダー、ワークフローシステム、データベース、メールアーカイブ、その他のリソース) に機密情報が保存されている事実の特定 。
示されている対策は、すべての高度なDLPシステムでさまざまな高度で実装されているファイルストレージスキャン機能を使用して実装できます。 この機能により、ファイル/クラウドストレージとローカルハードドライブ、およびメールアーカイブの両方のコンテンツをインベントリできます。
ファイルストレージをスキャンすると、以下のメカニズムを使用して、機密データとストレージのルール違反が明らかになります(リストはシステムによって異なる場合があります)。
- ローカルネットワークノード、パブリックファイル、クラウドストレージのスキャン。
- メールサーバーをスキャンして、メールのアーカイブを分析します。
- シャドウコピーアーカイブのスキャン。
- 保護されたデータを保存するためのルールの違反に積極的に対処します(違法に保存された機密情報を隔離ストレージに移動する、通知ファイルに置き換える、情報セキュリティの専門家をワークステーションにコピーするなど)。
- ポリシー設定に応じた企業データの自動分類。
- 企業内の情報の普及を監視し、重要なデータの一貫性のない場所を特定します。
さらに、この対策を強化するための要件には、不適切なコンテンツを含むIPからの情報の転送をブロックすることが含まれます。 ほとんどすべてのDLPシステムでは、メールメッセージからUSBドライブへのコピーまで、さまざまな通信チャネルでこれらの要件を満たすことができます。
セキュリティイベントログ
情報保護に関するFSTEC勧告の2番目の重要なブロックは、セキュリティイベントの登録 -SSR です。 もちろん、これらの手段に着手する前に、すべての情報資産(リソース)を組織内で分類する必要があります。 その後、次の措置を実行することが可能になります。
記録するセキュリティイベントに関する情報の構成と内容を決定します。
主記憶時間中のセキュリティイベントに関する情報の収集、記録、および保存。
セキュリティイベントの記録およびそれらへの応答の結果の監視(表示、分析)。
すべてのDLPソリューションが、情報システムでのユーザー認証の事実と時間、およびユーザーに付与された権利に関する情報を表示できるわけではありません。 しかし、それらのほとんどは、特定のアプリケーションの起動の禁止を構成し、さまざまな情報システムで作業する際のユーザーアクションを監視することを可能にします。 高度なDLPシステムでは、原則として、重大度レベルに関するイベントの拡張グラデーションが実装され、最大4〜5レベルです。 これは、イベントのプロファイリング、レポートの生成、統計の収集に非常に便利です。 これらのイベントを分析した後、システムを操作する情報セキュリティの専門家は、情報セキュリティインシデントが発生したかどうかを判断します。
ポリシーを更新するときにすべてのイベントをDLPシステムのデータベースに保存することにより、遡及的な分析と調査を行うことができます。
IP、その手段および通信とデータ伝送のシステムの保護
DLPシステムが直面している基本的な目標に戻ります。 成熟した思考の結果、さまざまな種類のログを収集および統合する能力がその達成に重要であるだけでなく、転送/処理および保存中の蓄積データの保護も重要であることが明らかになります。 実際、 前の記事で詳しく説明した情報を作成、送信、受信する際に、否認防止の概念について話しています。 さまざまな角度からこの尺度にアプローチできます。 一部のDLPシステムの実装では、追加の商用SZIおよびCPSIのみを使用して「否認防止」を保証しています。 その他は、オペレーティングシステムの標準機能を使用できるようにします。 たとえば、CentOS OSおよびPostgreSQLデータベースで信頼できるものを検討してください。
- DM_Crypt OSのコアに組み込まれたセクターによるボリューム暗号化。
- データベースの暗号化-pgcryptoモジュール(データベース自体のテーブルと行の暗号化。特に、IT担当者を含む特権ユーザーに対する保護の構築を可能にします)。
- データベース「pg_hba.conf」間のクラスターで安全な接続を作成します。
- クライアント/サーバー接続の保護-実際には、TLS 1.2以降が必要です。
FSTECは暗号化による保護手段の使用を規制していないという事実にも関わらず、DLPシステム自体が有能なIT担当者の手に渡らないように、 情報システム、その手段、通信およびデータ伝送システム(VMS)を保護するために暗号化を使用することをお勧めします専有情報の漏洩。 上記のツールはOSおよび関連ソフトウェアのコンポーネントであるため、上記の例は個人的な性質のものです。 ただし、いずれにしても、必要に応じて、暗号化情報保護の既存の商用手段に代わるオープンソース/無料の代替手段をいつでも見つけることができます。 しかし、ここでは、これらのソリューションの認定についてすぐに疑問が生じます。これは、別の会話のトピックです。
次の記事では、コンポーネントモジュールの主要なDLPシステムの米国NIST米国標準の推奨事項への適用性について説明します。