SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

EnterpriseZine Day 2022

2022年6月28日(火)13:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine Press

内部者による不正アクセスに企業はどう立ち向かえばいいか?


 9月3日、デロイトトーマツサイバーセキュリティ先端研究所は記者向け勉強会を開催し、内部者による不正アクセスについての現状や実効性のある対策について解説した。

米国の調査では、サイバー攻撃の1/4は内部者によるもの

 「今回の不祥事はまったく青天の霹靂であり、社員はみな心を痛めています。しかしもう大丈夫です。同様のことを起こさないと社員全員から一筆もらっていますので」  

 これは特定の誰かの発言ではない。不正発覚後に経営者が言いがちなセリフを集約したものだ。良くも悪くも「不正を起こすような社員は(もう)いない」と信じ、必要な不正防止策を施さない。そしてまた不正が繰り返される。  

 デロイトトーマツサイバーセキュリティ先端研究所 主任研究員 白濱直哉氏
デロイトトーマツサイバーセキュリティ先端研究所
主任研究員 白濱 直哉氏

 米国における調査によると、サイバー攻撃の1/4は内部者によるものとある(日本では内部による不正の割合はこれより多いという見方もある)。内部不正は見過ごしてはならない問題だ。社員や関係者など人間を信じるだけではだめで、有効な対策を施す必要性がある。

 デロイトトーマツサイバーセキュリティ先端研究所 主任研究員 白濱直哉氏は不正の三大要素を挙げた。不正が発生する背景には不正を働くきっかけ「動機」があり、不正が可能となる環境「機会」があり、不正者が不正を正当化する理由「正当化」が存在するという。

 例えば経済状況の困窮や待遇への不満から「動機」がうまれ、権限管理や監視がずさんであるというような不用心な環境に「機会」があり、本人が「このくらいみんなやっている」「そもそもは会社の待遇が悪いのだから」と「正当化」してしまう心理があり、内部不正に至ってしまう。白濱氏は「不正のトライアングルを成立させない取り組みが必要です」と強調する。 

 白濱氏が示した内部不正対策チェックリストは以下の10項目。

■定義と責任の明確化

 1. 重要情報の定義及びアクセス権限者が明確化され、管理に関するルールがあるか
 2. 情報の責任者を明確にし、責任者はその責任を認識しているか

■重要情報の所在を明確にし、アクセス権限者を限定

 3. 情報のライフサイクルや業務フロー、データフローが管理され、どこにどのような情報が残るのか把   握しているか(システムが利用するテンポラリ等を含む)
 4. 重要情報が保存されたサーバー等へのアクセスが、許可されたもの以外から拒否されることを確認しているか
 5. 重要情報へのアクセスを改竄ができない仕組みで記録し、トレースが可能な状態か
 6. 退職者による不正を想定した退職プロセスが定義され、厳格に運用されているか

■情報の出口を押さえる

 7. USBデバイス等、PCと物理的・論理的に接続できるものを把握し、媒体・情報の持ち出しを管理しているか
 8. 重要情報が保存されたシステムが物理的に保護されているか
 9. 相互監視やログ確認等により、牽制機能が働く環境になっているか
 10.「動機」「正当化」を低減させるための教育等の施策を実施しているか

 内部不正への取り組みはとても難しい。外部不正ほど行為そのものや定義が明確ではなく、実態を把握しづらいという特徴があるからだ。ここは内部不正に取り組むときにきちんと認識しておく大事なポイントとなる。外部犯行なら「一発アウト」となるような明確な攻撃となるのに対して、内部不正は見えないところでじわじわと進行する。またシステムで監視できるものとできないものがある。

次のページ
どこからどこまでを”内部不正”とするか、定義を明確にすることが重要

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
EnterpriseZine Press連載記事一覧

もっと読む

この記事の著者

加山 恵美(カヤマ エミ)

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/6131 2015/04/27 11:34

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年6月28日(火)13:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング