GDPRコンプライアンスの要件を満たすためのAD監査の徹底
EUは、企業にとっても関心が高い「データ保護」に関して定めた、「一般データ保護規則 (General Data Protection Regulation:GDPR)」を施行しました。 PCI-DSS、ISO 27001など、すでに他のコンプライアンスに対応している企業についても、GDPRを準拠することは困難となる可能性があります。全11章99条で構成されているGDPRは、以下の内容について定めています:
- 個人データのコントロール権限は、データの所持者である本人が有する
- 「個人データ」に名前、メールアドレス、IPアドレス、Cookieなどの資産情報を含める
- 企業のIT管理者に、個人情報の取り扱い方、ならびにポリシーの監査に関する教育を実施
- データへの侵害に対する予防ならびに迅速な検知のための対策を実施
2018年5月25日より、EU一般データ保護規則(GDPR)は既存のEUデータ保護指令と置きかわる形となります。GDPRでは違反した場合、最大2000万ユーロ(約26億円)、あるいは年間売り上げの4%という非常に高額な制裁金を支払う必要があるため、適用対象となる企業は一日も早い対策が求められます。
GDPRコンプライアンスの要件を満たすために必要な対策とは?
GDPRでは、データへの侵入に備えて、以下の対策を行うことが求められています:
上記の要求を満たすためには、個人情報が保管されているサーバーに対するアクセスならびに操作内容を適切に監査し、侵害された場合は直ちに検知できるようなツールの利用が推奨されます。
ADAudit Plusを使用してサーバー内の個人情報を保護する
Windowsファイルサーバーにて個人データを含むファイル、フォルダーを保管している場合、ADAudit Plusはそれらのデータを保護するための、大変有力なツールといえます。ADAudit Plusには、以下を含む200以上の定義済みレポートが用意されています:
- ユーザーアクセス (ログオン/ログオフ、ログオン失敗など)
- ユーザーセッション活動
これらのレポートにより、個人データに対するアクセスや操作を監査し、本来アクセスが許されていないようなユーザーからのアクセスがないかを容易に監査することができます。
ADAudit Plusを使用した侵害の検知
ブルートフォース攻撃の検知:ブルートフォース攻撃とは、攻撃者がシステムに侵入する際に、最もよく利用される手段の一つです。ADAudit Plusは、ユーザーのログオンに関する多様なレポートを用意しており、ブルートフォース攻撃の検知に貢献します。例として、以下のレポートが挙げられます:
- 間違ったパスワード、ユーザー名によるログオン失敗
- ドメインコントローラーやIPアドレスに基づくログオン活動
- アカウントロックアウトの発生
内部攻撃の検知:外部からの侵害と同様に、内部からの侵害に注意し、監査を行うことは大変重要なことです。たとえばユーザーの活動、とくに特権ユーザーの活動を監視することは、内部対策を行う上でも有効な手段といえます。ADAudit Plusでは、以下のセキュリティイベントを追跡することで、侵害の検知に貢献します:
- 複数のコンピューターにログオンしたユーザー
- Administratorのログオン活動
バックドアアカウントの検知:攻撃者が社内ネットワークに侵入して機密データを盗み出す際、バックドアアカウントを使用するケースがあります。攻撃者は侵入後、はじめにバックドアアカウントを作成して、アカウントに特権を付与します。そして、一般アカウントではアクセスできないような機密情報の奪取を試みます。このようなバックドアアカウントを使用した攻撃を早期に気づくためのレポートとして、ADAudit Plusは以下のようなレポートをご用意しています:
- 特権グループの変更
- 特権グループへのユーザー追加
- ユーザーの作成
- GPOの変更