Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

内部者による不正アクセスに企業はどう立ち向かえばいいか?

2014/09/09 00:00

 9月3日、デロイトトーマツサイバーセキュリティ先端研究所は記者向け勉強会を開催し、内部者による不正アクセスについての現状や実効性のある対策について解説した。

米国の調査では、サイバー攻撃の1/4は内部者によるもの

 「今回の不祥事はまったく青天の霹靂であり、社員はみな心を痛めています。しかしもう大丈夫です。同様のことを起こさないと社員全員から一筆もらっていますので」  

 これは特定の誰かの発言ではない。不正発覚後に経営者が言いがちなセリフを集約したものだ。良くも悪くも「不正を起こすような社員は(もう)いない」と信じ、必要な不正防止策を施さない。そしてまた不正が繰り返される。  

 デロイトトーマツサイバーセキュリティ先端研究所 主任研究員 白濱直哉氏
デロイトトーマツサイバーセキュリティ先端研究所
主任研究員 白濱 直哉氏

 米国における調査によると、サイバー攻撃の1/4は内部者によるものとある(日本では内部による不正の割合はこれより多いという見方もある)。内部不正は見過ごしてはならない問題だ。社員や関係者など人間を信じるだけではだめで、有効な対策を施す必要性がある。

 デロイトトーマツサイバーセキュリティ先端研究所 主任研究員 白濱直哉氏は不正の三大要素を挙げた。不正が発生する背景には不正を働くきっかけ「動機」があり、不正が可能となる環境「機会」があり、不正者が不正を正当化する理由「正当化」が存在するという。

 例えば経済状況の困窮や待遇への不満から「動機」がうまれ、権限管理や監視がずさんであるというような不用心な環境に「機会」があり、本人が「このくらいみんなやっている」「そもそもは会社の待遇が悪いのだから」と「正当化」してしまう心理があり、内部不正に至ってしまう。白濱氏は「不正のトライアングルを成立させない取り組みが必要です」と強調する。 

 白濱氏が示した内部不正対策チェックリストは以下の10項目。

■定義と責任の明確化

 1. 重要情報の定義及びアクセス権限者が明確化され、管理に関するルールがあるか
 2. 情報の責任者を明確にし、責任者はその責任を認識しているか

■重要情報の所在を明確にし、アクセス権限者を限定

 3. 情報のライフサイクルや業務フロー、データフローが管理され、どこにどのような情報が残るのか把   握しているか(システムが利用するテンポラリ等を含む)
 4. 重要情報が保存されたサーバー等へのアクセスが、許可されたもの以外から拒否されることを確認しているか
 5. 重要情報へのアクセスを改竄ができない仕組みで記録し、トレースが可能な状態か
 6. 退職者による不正を想定した退職プロセスが定義され、厳格に運用されているか

■情報の出口を押さえる

 7. USBデバイス等、PCと物理的・論理的に接続できるものを把握し、媒体・情報の持ち出しを管理しているか
 8. 重要情報が保存されたシステムが物理的に保護されているか
 9. 相互監視やログ確認等により、牽制機能が働く環境になっているか
 10.「動機」「正当化」を低減させるための教育等の施策を実施しているか

 内部不正への取り組みはとても難しい。外部不正ほど行為そのものや定義が明確ではなく、実態を把握しづらいという特徴があるからだ。ここは内部不正に取り組むときにきちんと認識しておく大事なポイントとなる。外部犯行なら「一発アウト」となるような明確な攻撃となるのに対して、内部不正は見えないところでじわじわと進行する。またシステムで監視できるものとできないものがある。

※この続きは、会員の方のみお読みいただけます(登録無料)。


※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

  • 加山 恵美(カヤマ エミ)

    EnterpriseZine/Security Online キュレーター フリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online&nbs...

  • Security Online編集部(セキュリティ オンライン ヘンシュウブ)

    Security Online編集部 翔泳社 EnterpriseZine(EZ)が提供する企業セキュリティ専門メディア「Security Online」編集部です。デジタル時代を支える企業の情報セキュリティとプライバシー分野の最新動向を取材しています。皆様からのセキュリティ情報をお待ちしておりま...

バックナンバー

連載:EZ Press

もっと読む

All contents copyright © 2007-2019 Shoeisha Co., Ltd. All rights reserved. ver.1.5