セキュリティ事故に備える「CSIRT」構築術

組織の内外で高まるセキュリティのリスクと脅威を乗り切る方法とは?ITmedia エンタープライズ ソリューションセミナー レポート(2/5 ページ)

» 2015年01月09日 10時00分 公開
[編集部,ITmedia]

内部犯罪の原因と対策の3原則

日本セキュリティ・マネジメント学会常任理事の萩原栄幸氏

 ランチセッションでは日本セキュリティ・マネジメント学会常任理事「先端技術・情報犯罪とセキュリティ研究会」主査を務める萩原栄幸氏が、2014年に発生した内部犯罪事件の考察を中心に対策のヒントを解説した。

 まず2月に明るみなった大手地方銀行における顧客情報流出ではATM業務を受託していた企業の元社員が盗み取った情報から偽のキャッシュカードを作成し、不正に金銭を搾取していた。元社員は数十年に渡ってこの銀行の業務を担当していたとされる。

 萩原氏によれば、そもそも元社員が同じ銀行を長い間担当することにセキュリティ上の問題があると指摘する。例えば、銀行では社員の異動サイクルは平均2〜3年とされ、これは社員が顧客との関係構築を通じて不正行為に及ばないようにするためだという。また、元社員の不正行為を見逃してしまうようなシステム面にも様々な問題があった。

 次に6月に発覚した大手教育サービス企業での事件は、システムの業務を受託していた企業の元社員によって、国内では過去再規模となる3000万件近い顧客情報が流出した。大手教育サービス企業は原因や再発防止策などについて詳細な内容を明らかにしているが、専門家の視点では多くの疑問が生じるという。

 例えば、元社員はデータベースの業務用PCを経由してスマートフォンに顧客情報をコピーした点について、同社ではコピー制御の仕組みが適切に機能していなかったと説明している。この説明では一見すると“対策は導入していた”と読み取れるが、対策が機能しなかったことは、対策をしていないのに等しいと萩原氏は指摘している。操作ログなども保存していたが、事実の発覚までに長期間を要したことはログを分析するなどの対策が適切に行われていなかったことになり、同社のような大手の企業では考えづらい。

 こうした内部犯罪の本質とは、人間が「これから犯罪をする」という意識を持って自ら実行する点になるという。ここに対策のヒントがみられる。情報処理推進機構が2012年7月に発表した「組織内部者の不正行為によるインシデント調査」の報告書によると、内部不正への気持ちが低下する対策について社員の54.2%が「社内システムの操作の証拠が残る」ことを挙げた。一方、経営者・管理者では0.0%だった。つまり、内部不正に及ぶ人間は「どうすれば気付かれずに実行できるか」を考えるため、対策を講じるにはこの視点が不可欠になってくるというわけだ。

 萩原氏は、対策の原則として(1)多層防御、(2)振る舞い検知、(3)内部統制強化と従業員教育――の3つを提示する。

 多層防御は昨今のセキュリティ対策では必要性が叫ばれる。全てのリスクに通用する防御システムは存在しないため、複数の防御層を講じることで一部が突破されても他の防御層で食い止めるというアプローチだ。

 振る舞い検知は、ある意味で究極の内部犯罪対策になり得るという。正規の権限を持つユーザーの行為を監視・分析し、わずかでも不信な点が見つかれば、警告したり、行為を禁止したりできる。従来は非常に高額なシステムだったものの、最近では市販ソフトのカスタマイズでも構築できるなど、安価に講じられる対策になりつつある。

 (3)は悪意を持った人間には通用しないという見方もあるが、セキュリティ犯罪を実行するのは人間であり、犯罪に悪用されるもの人間の意識など脆弱な部分になる。そして、セキュリティ対策を講じるのも人間であり、最後はやはり人間が大切だという考えだ。

 萩原氏は、従業員などへのセキュリティ教育を「とりあえず実施する」という意識ではなく、そもそも人間を悪意に走らせないような「良い職場づくり」なども含めて適切に取り組んでいくべきだとアドバイスしている。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ