組織に潜む内部犯罪を考える（後編） 内部犯罪の2つのパターンと対策：萩原栄幸の情報セキュリティ相談室（1/2 ページ）

バイトテロのような問題は、世間的に「内部者」でも、教育が十分に行き届いていない「みなし内部者」による不正行為といえる。今回は「本当の内部者」による犯罪と対策を取り上げる。

[萩原栄幸，ITmedia]

編集部からのお知らせ

「敵は身内にあり」――あなたの会社の内部リスクをハギーが暴く！？

萩原栄幸氏の講演情報はこちら→サイバーリスクの最前線とセキュリティの最適解（参加無料）

　前回の「中編」では主に、パートやアルバイト、そして新人の社員といった世間では「組織内部の人間」と捉えられていながらも、まだ十分に教育が行き届いていない「みなし内部者」によ不正行為への考え方について述べた。今回は「完全な内部者」が罪を犯すケースについて述べたい。

内部犯罪のパターン

　内部犯罪・内部不正のケースには（1）正当なIDやパスワードでシステムに侵入する「なりすまし」、（2）ID・パスワード・正当な権限者としてシステムに侵入し、業務目的とは異なるデータの改ざんやコピー、不正利用（例えば第三者への振込など）を行うもの――に大別できる。

　（1）では例えば、「係長」が2階級上の「部長」のIDとパスワードを使い、本来なら「係長」の立場ではアクセスできない中に侵入して、顧客情報をコピーしたり、「考課表」を改ざんしたりするケースだ。（2）では例えば、「課長」自身が自分のIDとパスワードでシステムに侵入し、業務外の利用で顧客名簿をUSBメモリにコピーして持ち帰り、名簿屋に売却するといったものになる。

　システムの防御壁を破ったり、脆弱性を突いて侵入したり「内部犯罪」はまず無い。

　今までの防御手段において、正当なID・パスワードでシステムに入り込んだ場合に、その犯行を発見することは極めて難しかった。なぜなら、正当なID・パスワードで正門から来た利用者は「業務で利用する人」と認識されていたからで、ある意味「治外法権」になっていた。つまり、従来型の防御とは「外の敵をどうやって発見し防ぐのか」について注力するものであり、防御層の中で行われている「不正行為」の検出は苦手だったというわけだ。

　そういう意味ではファイアウォールとよく似ている。攻撃に対する防御の基本は、「関門」と「区画化」にあるが、最大の弱点はその区画内に「敵」がいる場合に、防御がほとんど無効になってしまうことである。

内部犯罪の対策・その1

　このような「外部攻撃に有効な防御」とは別に「内部からの攻撃」にどう対応すべきか。筆者が銀行員時代に考えて実装したものに「多層防御」と「振る舞い防御」があった。

　まず、簡単な「多層防御」について解説しよう。これは区画化（区分化、差別化などともいう）された内部にいる「敵」に対しては防御が役に立たないということを前提に、その区画をさらに細分化することで、被害の最小化と検知の最大化を図るものだ。イメージとしては、城壁のような3次元の「大割の区画化」ではなく、2次元レベルで直列の区画化を行うという具合である。

　例えば、あるデータベースの内容を盗まれないようにするとしよう。最も外側にウイルス対策ソフトを配置し、その次にデータを移動できる権限をさらに細分化する。次に、「鍵＋データ部A」の持ち出し権限と「鍵＋データ部B」の持ち出し権限に分離する。最低でも2つの権限がないと、元々のデータとしての状態では持ち出しができない（データの断片では情報として意味を成さないようにする）。

　さらにデータベースを、例えば郵便番号の帯域に応じて区分けし、「東京都だけ」「埼玉県だけ」というように細分化する。1つの権限につき、データが移動できる帯域を1つだけに限定する。別の防御層としてこれらを暗号化する。そうすることで、復号化しないとデータを持ち出しても意味が分からないというわけだ。

　通常、このように5層とか6層以上といった防御の層を直列的に幾つも用意する。これなら「なりすまし」でも「内部犯罪」でも、被害の極小化は可能だ。データベース全体の入手はとても難しくなるからである。本当はもっと複雑なものだが、本稿では概念だけの紹介にとどめたい（「検知」層が必須ではある）。