ソリューション

マクニカネットワークスが取り扱う製品で、皆様の課題を解決します

【レポート】Macnica Networks DAY 2015
B-1:現場目線で見えてきた内部不正対策に必要な考え方とアプローチ

講演「現場目線で見えてきた内部不正対策に必要な考え方とアプローチ」レポート

2015年7月8日に、東京・品川で開催した「Macnica Networks DAY 2015」。今年も引き続きサイバーセキュリティにフォーカスをあて、複雑化・高度化する標的型サイバー攻撃から日本企業を守るため、最新の攻撃手法をはじめ、先進のセキュリティ技術などさまざまなセッションをお届けした。

セッションB-1では、マクニカネットワークス 伊藤 章浩が、「現場目線で見えてきた内部不正対策に必要な考え方とアプローチ」と題した講演を行い、連続して発生した情報漏えい事件に関連して、内部不正の問題解決のための1つのアプローチを提案した。

注目されている内部不正問題

昨年、企業から大量の個人情報が漏えいした事件は世間を賑わせ、内部不正の問題が急速に関心を集めた。社内のITシステムにアクセスできる権限を持った正規ユーザが、機密情報を持ちだし、流出させる。言うまでもなく、企業にとって社会的信頼を失墜させる行為である。また、まもなくスタートするマイナンバー制度では、厳格な情報漏えい対策が求められ、不正に情報を流出させた場合は厳しい罰則も定められている。

伊藤は、「日本での内部不正対策が遅れている背景に、認識の甘さがあります。アメリカでは、内部不正が最大の脅威と認識されています」と、アメリカでの調査(PwC「米国サイバー犯罪調査」)を紹介しながら解説した。

伊藤は、調査の中から2つの設問を取り上げた。「過去12カ月であなたの会社にとってサイバーセキュリティ上の最大の脅威をもたらしたものはどれですか?」という設問では、「現従業員、および元従業員」がトップであった。「サイバー犯罪のうち、あなたの会社にとってよりコストがかかった、または被害が大きかったのはどの原因によるものですか?」という設問でも「インサイダー(現従業員、および元従業員、請負業者など)」が3分の1を占めていた。以上のことから、アメリカでは内部不正が大きなリスクを伴う問題として認識されており、1従業員あたり年間400~2500ドルのセキュリティ投資を行っていることが分かる。

ただし、内部不正対策は、通常のセキュリティ対策とは異なる。まず通常のセキュリティ対策は、外部の第三者からのサイバー攻撃などを対象としている。しかし、内部不正の場合は、外部の第三者ではなく、「正規のユーザが不正を働く」ものである。ところが、日本では正規ユーザによる内部不正を想定した対策は、現在あまり進んでいない。

驚愕のアンケート結果!データベース管理者の約1割が、不正を犯す潜在的な可能性がある

続いて伊藤は、「アメリカではセキュリティ担当者の地位も高くなっています。ところが日本では内部不正のリスクが高いにもかかわらず、地位が低いことも問題です」と指摘し、内部不正を働く要因の一つに、セキュリティ担当者の地位の低さを問題視した。そして、国内の調査結果(データベース・セキュリティ・コンソーシアム「DBA 1,000人に聞きました」アンケート調査報告書)に見える、データベース管理者の不満について解説した。

データベース管理者の約1割が、不正を犯す潜在的な可能性がある

調査によると、自分が正当に評価されていると感じているデータベース管理者は3分の1以下。つまり、3分の2は、自分に対する会社の評価について満足していないと思われる。また、会社を気に入っていると答えたデータベース管理者も半数に満たない。これも会社に不満を感じているデータベース管理者が多いことを意味する。そして「将来、データベースに格納されている情報をこっそり売却するかもしれない」という設問に対して、「そう思う」が3.6%、「ややそう思う」が7.1%という回答だった。

伊藤は、「データベース管理者の約10%が、内部不正の潜在的リスクを抱えている」という調査結果を、「驚愕の事実」という言葉で表現し、自身に対する低い評価、会社に対する不満が内部不正につながる可能性があると指摘した。

内部不正につながる3要素「機会、動機、正当化」

従業員が不正行為に走る要因としては、「機会」「動機」「正当化」の3要素がある。

内部不正につながる3要素「機会、動機、正当化」

機会とは「不正行為の実行を可能、ないし容易にする客観的環境」のことで、「容易に情報へアクセスできる」「不正をしても見つからない」といったセキュリティの甘い環境が例として挙げられる。

動機とは「不正行為を実行することを欲する主観的事情」のことで、「借金を抱えている」「情報を売れば利益を得られる」など、従業員の心理的要因が挙げられる。

正当化とは「不正行為の実行を積極的に是認しようとする主観的事情」のことで、「会社からの評価が低いから、情報を漏えいさせてやっても当然だ」というような、不正行為が従業員の心の中で正当化するような心理である。

伊藤は「機会、動機、正当化の3要素が揃うことが内部不正に走る条件になります。つまり、その中の1つの要因だけでも切り崩すことができれば、不正行為を防げる確率が高まります」と語った。

ただ「客観的な要因(機会)」と「主観的な要因(動機、正当化)」を分けて考えるべきと言う。

「容易に情報へアクセスできる」「不正をしても見つからない」という客観的環境の問題なら、「業務に応じたアクセス権限を付与する」「ログを取得して、監視する」などの対策を取れば、内部不正の防止効果、抑止効果が期待できる。つまり、機会については、ITソリューションを用いての防止対策、抑止対策を行いやすいと言える。

一方、主観的な要因である動機や正当化は対策が難しい。例えば従業員が借金を抱えていても、人に話しにくい内容だけに、何らかのきっかけでもないかぎり上司や同僚が気付く可能性は低い。また従業員が「会社と心中してもいいから、情報漏えいさせてやる」「会社に不都合なことをやって、倒産させてやる」と覚悟を決めて不正を行おうとしていたら、それを防ぐのは容易ではない。

そう考えると、「3つの要因のうち、1つでも切り崩せば、内部不正防止につながるのだから、ITソリューションで対応しやすい『機会』を作らせない対策から進めるのがよいでしょう」と伊藤は提言した。

「守るべきデータ」を中心に内部不正対策を検討する

従来型のアプローチは、客観的な正当性に基づいた権限管理だった。その土台となるのは、ユーザの権限の大きさは、ユーザの正当性(正規性)に正比例するという考えだ。つまり、仕事の責任に応じてアクセス権限を管理する仕組みで、役職が高ければ大きな権限を与え、役職の低いユーザには小さな権限を与えるのだ。いわば、「ヒト」ベースの考え方である。

ところが、ITの現場では、必ずしも権限と正当性が比例するわけではない。上司よりも役職が低い現場担当者が高い権限を持っていることもある。会社同士の協業で他社のシステムへのアクセス権限を持つ、外部委託先の従業員が高いアクセス権限を持っているなどのケースもある。そこで発生する、正当性と権限のギャップが、内部不正のリスクになっている。

そこで、新たなセキュリティのアプローチとして、「ヒト」ベースから「データ」ベースの考え方への転換を伊藤は提案した。企業の内部には、データは、ネットワーク中を移動する「データインモーション」、データベースやファイルサーバに保存されている「データアトレスト」、端末で閲覧、編集中の「データインユース」など、さまざまな状態で存在している。それらの「守るべきデータ」を中心に、セキュリティ対策を講じるというのが、伊藤の提案である。

「データ」を中心にした、情報を守るための3ステップ

「データ」ベースの守り方とは、具体的には3つのステップで考えると良いと伊藤は言う。

  • 重要な情報資産の棚卸
  • 情報資産に対する堅牢性/脆弱性の判断
  • さまざまなデータの状態に対応できる対策ソリューションの検討

情報資産の棚卸とは、情報を重要性によって分類することだ。社内には個人情報、人事情報、技術情報、財務情報などさまざまなデータが存在している。それらを棚卸して、社外に漏らしてはいけないデータは何かを分析する。その後、守るべきデータに関連する堅牢性、脆弱性を洗い出して、リスクを見定め、課題をクリアするためのソリューションを検討するという流れである。

「データ」を中心にした、情報を守るための3ステップ

なお、情報の重要性は会社によって考え方が異なるものだ。特に技術情報などは会社によって認識の差異が大きい。「自社の持つ独自技術を絶対に漏えいさせたくない」という会社もあれば、「データが流出しても、肝心の人材、ノウハウが盗まれなければ、同じものは作れないのだから問題はない」と考える会社もある。

そのように、会社の考える重要度を踏まえて情報の棚卸を進める。その上で情報に対するリスクを計算し、重要でありながら脆弱性を内包するデータに関しては徹底的に対策を施していく。

データの「保管形態」と「保管場所」に応じたセキュリティ対策

次に考えるのは、情報の保管に応じたセキュリティ対策だ。構造化しやすい個人情報はデータベース、機密情報はファイルサーバに保管されることが多い。データベースを守るImperva SecureSphere Database Firewallであれば、データベース管理者のアクセスを監査し、大量のダウンロード、特権的な操作などがあれば検出する仕組みを導入できる。ファイルサーバを守るImperva SecureSphere File Firewallであれば、時間外アクセスや大量アクセスなど異常な利用状況を検出することが可能だ。

データの「保管形態」と「保管場所」に応じたセキュリティ対策

出張が多い社員であれば、DLP(Data Loss Prevention)などでクライアントPCのセキュリティ対策を強化する。ネットワークを監視するBlueCoat Security Analytics PlatformやSSL通信を可視化するBlueCoat SSL Visibility、クラウドを活用しているならSkyfence Cloud Gatewayなどが役に立つ。

それらのツールを導入したと全社員に通知しておけば、内部不正の要因の1つ「機会」を切り崩すことにもなり、抑止効果を高められるだろう。

伊藤は、「内部不正の対策について手法はいくつもあると思います。私の提案はあくまでもアプローチの1つ。今回はあまり触れなかったのですが、主観的な要因である動機や正当性の問題をシステム的に防ぐのは難しいが、相手をリスペクトする、人間関係を大切にするなど、日頃の心がけで防げることも多いのではないか。それを忘れないようにしたいものです」と伊藤は締めくくった。

いつか見た景色 from Staff's Albums