いまこそ見直すべき“内部犯行”への対策：“データベースから抜かれる瞬間を捕える”本当に必要なセキュリティ対策とは？

最近も内部犯行者による数千万件規模の情報漏えい事件が発生して話題になった。正規の権限を持った管理者による犯行に対して、きちんとした対策を採っている企業は少ない。では、どう対策すれば良いのだろうか。

[PR，ITmedia]

PR

　近年、企業を狙うサイバー攻撃は高度化・悪質化が進んでおり、中でも特定企業の機密情報を狙って執拗にサイバー攻撃を繰り返す“標的型攻撃”は、企業にとって引き続き大きな脅威となっている。

このようなサイバー攻撃に対しては、各ベンダーからさまざまなセキュリティソリューションが提供されており、大量の個人情報を扱う企業および機密情報を保持している企業を始め多くの企業が何らかのセキュリティ対策に取り組んでいる。

サイバー攻撃だけではない、内部犯行の脅威にもっと備えるべき

　こうしたサイバー攻撃へのセキュリティ対策に注目が集まるなか、盲点となっているのが、“内部犯行による情報漏えい”だ。最近でも、悪意を持った内部関係者が不正アクセスによって個人情報を盗み出し、数千万件規模の情報漏えいを引き起こした事件が大きな話題になった。この事件の犯人は、グループ会社の業務委託先企業の元社員で、個人情報が格納されたデータベースへの正規アクセス権限を保持していた。つまり、“犯人が正面から堂々と個人情報にアクセスできた立場の者である”という点に注目すべきだ。

マクニカネットワークス ネットワーク第1事業部 プロダクト第1営業部 第2課 伊藤章浩氏

　「今までは、悪意のある外部者からのサイバー攻撃に対するセキュリティ対策が優先されて行われてきた。確かに、標的型攻撃などから個人情報や機密情報を守ることは非常に重要だが、その一方で、内部関係者からの不正アクセスによる情報漏えいに対するセキュリティ対策が、あまりにも手薄になっている。これからは、内部犯行の脅威も重要視するべきだ」と指摘するのは、マクニカネットワークス ネットワーク第1事業部 プロダクト第1営業部 第2課の伊藤章浩氏。

　企業の個人情報や機密情報などが多く保存されているデータベースを取り巻く脅威は、外部者からの攻撃だけでなく、データベースの管理者や運用者、委託先会社の関係者などの内部関係者による不正アクセスにも目を向ける必要があると言うのだ。

ログ収集では内部犯行は防げない！

　伊藤氏の言う通り、悪意ある内部関係者に対するセキュリティ対策は遅れていると言わざるを得ない。現在、ほとんどの企業がデータベースのアクセスログを収集・蓄積しているが、これは問題が発生したときに原因を探るためのもの。万が一、情報漏えいが起こった際にアクセスログをトラッキングすることで、「どの端末から」「誰が不正アクセスを行い」「どれくらいの個人情報が漏えいしているのか？」を後追いで調べるケースがほとんどだ。あくまで事後対策であり、アクセスログを収集しているだけでは、内部関係者による情報漏えいを未然に防げないのが現実だ。

図1：ログ取得で事後調査は可能だが、内部犯行者による情報漏えいの抑止効果や未然防御を実現するためにはさらに進んだ対策が必要だ

　このことは、多くの情報漏えい事件が、第三者の報告によって発覚していることからも明らかである。ベライゾンジャパンが実施した「2013年度データ漏洩／侵害調査報告書（PDF）」によると、データ漏えい／侵害の69％は第三者が発見したもので、データ漏えい／侵害の66％は発見までに数か月以上を要しているという。つまり、情報漏えいを起こした企業の約7割がそれに気づくことができず、被害が出てようやく気づかされていることになる。

　「もしかしたら、今現在も個人情報が漏れ続けていて、そのことにまだ気づいていない企業もあるかもしれない。被害に気づいたときには、もはや手遅れ。特に、個人情報を大量に保持しているECサイトや通信キャリア、サービスプロバイダー、金融業の企業にとっては、情報漏えいが発覚した際に受けるダメージは甚大だ」と伊藤氏は警告する。

競合に最重要の機密情報が渡るリスクも

　過去の事例を見ると、外部業務委託先スタッフによるIDの不正使用で、3万2359件のクレジットカード情報が漏えいした保険会社のケースでは、流出が確認された顧客一人当たり1万円、その他11万人に3000円分の商品券を配布している。

　「また、個人情報だけでなく、機密情報の漏えいも、企業に大きなダメージを与える。製造業の企業などでは、設計書や技術書などの機密情報が漏えいすることで、競合企業で類似製品が開発されたり、他国で偽造品が出回ったりすることにつながってしまう」と、伊藤氏は“悪意ある内部関係者から社内の機密情報も守らなければならない”と訴える。

　さらに、今年発生した大量の情報漏えい事件の報道を目の当たりにして、内部関係者に対するセキュリティ対策の重要性を改めて思い知らされた経営者も少なくないという。「自社のデータベースセキュリティは大丈夫なのか？ どうすれば内部関係者からの不正アクセスを防止できるのか？ そもそも、正規のアクセス権を持っている内部関係者による犯行を防ぐことは不可能なのではないか？ −−など、多くの経営者が、悪意ある内部関係者による情報漏えいに危機感を募らせている」（伊藤氏）と言うのである。

2つのアプローチで“データベースから抜かれる瞬間を捕える”

　こうして“不安になった経営者”からの要請を受け、データベースセキュリティの強化を早急に迫られているシステム管理者も増えている。しかし、「どんなソリューションを導入すれば、内部関係者からの情報漏えいを防ぐことができるのか？」が分からず、頭を悩ませているのが実状だ。

　「内部関係者による不正アクセスに対して、データベースセキュリティを強化するには2つのアプローチがある。1つ目が、内部関係者からの不正アクセスをリアルタイムで検知して、対策を講じる方法。2つ目が、不正アクセスを検知して未然に防御する方法だ。この2つのアプローチに対応するソリューションとして、マクニカネットワークスではセキュリティアプライアンス製品『Imperva SecureSphere（インパーバ セキュアスフィア）』を提供している」と、伊藤氏はこのセキュリティソリューションを活用することで、データベースセキュリティを強化し、内部関係者による不正アクセスを防止することができると強調する。

図2：Imperva SecureSphere Database Firewallは、DBに監視用エージェントをインストールせずに監視・防御できるパケットキャプチャ型のため、DBに負荷を掛けずに対策できる点が特徴だ

　まず、1つ目のアプローチに対応するソリューションが、内部関係者からの不正アクセスをリアルタイムで検知・通知する「Imperva SecureSphere Database Activity Monitoring」だ。同製品は、データベースサーバーに接続するネットワーク経路の横に接続することで、既存ネットワークに変更を加えずにスムーズに導入が可能。また、ネットワークキャプチャ型で不正アクセスを検知するため、データベースのパフォーマンスに影響を及ぼすことなく、内部関係者に対するセキュリティ対策を講じることができると言う。

　さらに、「Imperva SecureSphere Activity Monitoring」では、ネットワークを通る通信を監視しながら、データベースへのアクセスに不審な挙動があった場合には、即座にアラートを挙げて管理者に通知する。

　「これにより、データベースのアクセスログを収集しているだけの従来の方法では実現できなかった、内部関係者に対するリアルタイムでの不正アクセス対策が可能になる。アラートを受けた管理者は、ダッシュボードから不審なアクセスをチェックし、適切に対処することが可能になる」（伊藤氏）と言う。

正規ユーザーによる不正アクセスを未然に防御

　もうひとつのアプローチに対応するのが「Imperva SecureSphere Database Firewall」だ。このソリューションは、データベースサーバーに接続するネットワークにブリッジ型に設置することで、不正アクセスを検知すると同時に、これをブロックすることが可能となる。ネットワークキャプチャ型で不正アクセスを検知するため、データベースのパフォーマンスに影響を与えることはない。

　不正アクセスをブロックする際には、あらかじめブロックルールを作成し、このルールに基づいて防御を行う。例えば、「特定のアプリケーションからの許可された時間帯でのアクセス以外はブロックする」、「個人情報・機密情報を含む特定のテーブルからの大量のレコード取得をブロックする」など、顧客のニーズに応じてブロックルールを設定することが可能だ。顧客企業ごとにブロックルールを柔軟に設定できるため、ポリシーに沿ったアクセス制御を行うことができる。

　「いずれのソリューションも、データベースにアクセスした際のクエリ情報を詳細にモニタリングしている。これにより、『どのユーザーが』『どんな端末を利用し』『どのような操作を行ったのか？』までを把握できる。正規のアクセス権を持ったユーザーでも、1回のクエリで1万件のデータを取得しようとした場合、これは不正アクセスの可能性が高いと判断して、アラートを出したり、ブロックしたりすることができる」（伊藤氏）と、たとえ正規のアクセス権を持っていても、その振る舞いをモニタリングすることで、内部関係者による不正アクセスを未然に防御できるのだ。

　このような点から、悪意ある内部関係者からの不正アクセス対策が急務になっている企業にとって、マクニカネットワークスが提供する「Imperva SecureSphere Database Activity Monitoring」と「Imperva SecureSphere Database Firewall」は、そのベストプラクティスと言えるだろう。

　特に、大量の個人情報を扱うECサイトや通信キャリア、サービスプロバイダー、金融業の企業、および機密情報を保持する製造業の企業は、もう一度自社のデータベースセキュリティを見直してみてはどうか。

Create your free online surveys with SurveyMonkey , the world's leading questionnaire tool.