のぞき見だけで不正アクセス、内部犯罪はローテク見本市:会社に潜む情報セキュリティの落とし穴(2/2 ページ)
企業内からの情報漏えい事件では社内の人間が関与するケースが少なくない。彼らは周囲の人間が驚くほど簡単な手段で情報の持ち出しを試みている。
その手口とは?
ここまでの手段を講じておくと、読者の中には「なぜ怪しい人物にその手口を問いたださないのか?」と疑問に思われる人もいると思います。しかし、万が一この人物が言い逃れをするようなことになれば、最悪の場合裁判沙汰になるなど、会社にとっても本人にとっても面倒な作業を強いられることになります。また、調査を依頼した役員は極めて慎重な人であり、ログ分析や状況証拠だけではなく、犯行を証明するために「外堀」をすべて埋めてからではないと納得されませんでした。
本格的な監視カメラを設置する余裕がありませんでしたので、室内にWebカメラを置きました。その結果、決定的な証拠が出たのです。何と、支社長がパスワードを変更したその深夜に、疑わしいと見込んだ人物が支社長の席の後ろにある書棚の片隅にこっそりと小型のビデオカメラを設置したのです。映像には支社長のキーボードがはっきりと映っていました。しかも、50代の支社長はPCの操作に慣れていなかったこともあり、1キーずつゆっくりと打鍵していたのでした。この人物は幸運にも簡単にパスワードを知ることができたのでした。
ローテク犯罪を抑止するには
さて、ショルダーハッキングのようなローテク犯罪を発見したり、抑止したりするにはどのような方法があるのでしょうか。まず、個々人のセキュリティ意識を高めることが挙げられます。組織的として、定期的かつ全関係者(社長や役員から派遣や協力会社まで含めるのが望ましい)に対し、啓蒙活動を行うのです。中小企業ではセキュリティの教育をする余裕がないのが現状ですが、情報漏えい防止ツールを導入して満足しているよりも、より効果的です。
講演資料でも紹介しましたが原則としてIDやパスワードの変更管理を徹底します。多くの企業で実施しているように、「最低数カ月に1回以上はパスワードを変更する」という操作を関係者に義務化させ、変更しない人物のIDは強制的にアクセス不能にします(何回かの警告メッセージは出すべきですが)。退職者の管理も徹底します。ある会社では退職届けが受理されてから15分ほどで退職者のIDを使えないようにしています。こうした基本的な対策を実施しているという前提で、ショルダーハッキングに対する有効策を紹介しましょう。
1.ログの定期的な分析
企業で意外にも実施されていないのが「ログ分析」です。多くの会社では予算的な制約も影響していますが、ログを採取しても「事件が発生していない(と思い込んでいる)」との理由でログの分析をしていません。ここで重要なのは、「発生していないと思う」ということと「実際に発生していない」との間には大きな隔たりがあることです。
あるセキュリティ管理者は、平然と「ログは事件が発生した際に犯人を追跡するためにある」と得意そうに話し、わたしは唖然としたことがあります。全く違います。事件の損害が巨額になり会社が危機的な状態になってからログを分析していては遅いのです。ログ分析をしていることを周知し、なるべく被害が表面化する前に影響を最小限に食い止める目的で実施していることを理解してもらいます。このような心理的な壁を各人に持たせることで、不正行為そのものを未然に防ぐ効果が高まります。実際に犯罪が起きてしまっても、その手口や経緯などを明らかにしたり、犯人を特定する切り札になったりするのです。
2.特定IDの有効時間を制限する
例えば部長職以上の権限を持つIDについては、万が一の事態に対応するCIOやシステム開発部長、総務部長、人事部長、社長室長といった立場を除き、「午後10時〜午前7時まではシステムへのアクセスを禁止する」「休日の利用には事前申請が必要」するなどです。
3.勤務管理システムとの連動
ある会社では出社と退社の時間を管理しているタイムカードシステムと業務システムを相互連携させ、退社しているにも関わらずその社員のIDが使われた場合に、緊急メッセージを監視端末で通知してアクセスができないようにしていました。
4.システム面以外でのサポート
なぜその社員が不正行為に及んだのか。さまざまな背景があるはずです。上司との関係や同僚の競争、部下からの突き上げなど、社員のストレスが極度に高まった場合に「会社としてできることは何か」「防止するにはどうすべきか」という解決策がそれぞれの企業にあるはずです。いずれの場合でも、「会社はいつもあなたを見守っています」というメッセージを社員に対して出し続ける努力を怠ってはいけないということです。
読者の会社や団体ではいかがでしょうか。対処方法をもう一度見直しをされても損はないと思います。ぜひチェックすることをお勧めします。
萩原栄幸
株式会社ピーシーキッド上席研究員、一般社団法人「情報セキュリティ相談センター」事務局長、コンピュータソフトウェア著作権協会技術顧問、日本セキュリティ・マネジメント学会理事、ネット情報セキュリティ研究会技術調査部長、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格した実績も持つ。情報セキュリティに関する講演や執筆を精力的にこなし、情報セキュリティに悩む個人や企業からの相談を受ける「情報セキュリティ110番」を運営。「個人情報はこうして盗まれる」(KK ベストセラーズ)や「デジタル・フォレンジック辞典」(日科技連出版)など著書多数。
過去の連載記事一覧はこちらから
関連記事
- 「社内の人間は安全だ」という神話
セキュリティ対策では、ウイルスや不正アクセスといった外部からの脅威に備える意識が高いが、脅威は社内にも存在する。「関係者なら大丈夫だ」という意識に落とし穴が存在することもある。 - Winny利用の果て――家族崩壊した銀行マンの悲劇
ファイル交換ソフトを使った情報漏えい事件が後を絶たない。公私を問わず不用意に使用することが会社や組織だけでなく、家族や本人の人生にさえも暗い影を落としてしまうことがある。 - 振り込み用紙は“甘い蜜”――コンビニでの個人情報は安心か
日常生活の中ではさまざまなシーンで、個人情報を提供したり、提供を受けたりしている。今回はITから少し離れて、生活に身近な場所での個人情報の取り扱いを考えてみよう。 - USBメモリで広がるウイルスの脅威――感染からPCを守る方法
USBメモリなどを介して感染するウイルスの被害が急増中だ。手軽に持ち運べる利便性から普及したが、それを逆手に取って感染が拡大する。USBメモリウイルスからシステムを守る方法を紹介しよう。 - SSLを過信していませんか――ネットバンキングに潜む誤解とは
24時間いつでも手軽に利用できるオンラインバンキングや決済サービス。金銭をやり取りするこれらのサービスは犯罪者にとって格好の標的なだけに、利用者には正しいセキュリティ対策への理解が欠かせない。 - 詐欺の確信犯とそうではない人――ネットオークション利用を再チェック
インターネットオークションでは、意図的に金銭搾取を狙う詐欺行為に警戒が必要だ。しかし、中には詐欺を間違われる行為もある。購入者と出品者が注意すべき点を再確認してみよう。 - 忘れたデータが山盛り――中古PCからの情報漏えい
PCに保存したデータを「消した」と思っても実際には消えていない。中古で売買されるPCには残されたデータ情報が山盛りだ。ユーザーの認知が広まりつつあるとはいえ、今一度中古PCに潜む危険を再確認してみよう。 - データは消えない――メモリカードやUSBメモリに潜む落とし穴
メモリカードやUSBメモリに記録したデータを「消した」と思っても、完全には消えずに復元できてしまう。第三者に機密情報が知られてしまう恐れがあるのだ。 - オークションとバンキングが標的――統計から見るサイバー犯罪の最新動向
情報セキュリティの専門家・萩原栄幸氏が身近に潜むセキュリティの危険を解説する。第1回目は不正アクセスやネットサービスに絡むサイバー犯罪の最新事情だ。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.