内部不正は許さない!ログから不正行為を検知・予防する方法は?

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

内部不正は許さない!ログから不正行為を検知・予防する方法は?

2015/04/21


 2014年に発生した国内最大規模の情報漏えい事件は、「内部関係者からの情報漏えい」のあまりに危険な影響を身近に感じさせた。周到なセキュリティ対策をとっていてさえ、そこに潜む小さな弱点が悪用されると重大な被害につながってしまう現実を前に、途方に暮れたIT担当者も多いのではないだろうか。しかしだからといって腕をこまねいてはいられない。脅威への直接的な対策整備に加えて別の角度からの対策強化が今こそ必要だ。そこで今回は、特に内部不正を防ぐためのセキュリティ重点対策として「ログ管理」と「アクセス制御」の2つを取り上げ、2回に分けて対策を考えていきたい。第1回の本稿では内部不正防止のポイントと、対策としての「ログ管理」に焦点を絞って考えてみよう。

ログ管理

内部不正のパターンと対策の浸透度

 内部不正、あるいは不正とは言い切れないまでも会社のポリシーや常識的な規範を逸した内部関係者(社員、非正規社員、退職した従業員など)の行動をどう把握すればよいのか。機密情報漏えいのポイントがそこにあることが近年の情報漏えい事件から読みとれる。例えば次のような事例が報道されている。

【内部関係者に与えられた権限を利用した不正の例】
 ・金融機関の営業員が知りうる休眠口座の預金を着服した。
 ・社長のPC設定をシステム管理者が変更してメールを自分のアカウントに転送していた。
 ・機密情報ファイルを退職時に持ち出し、転職先で利用しようとした。
 ・ソフト開発者がソースをオンラインストレージにアップロードして外部に持ち出した。
 ・機密情報の入ったCD-ROMを業務の一環と偽りコピーして外部で換金した。
 ・在宅勤務社員がインターネットを介して企業システムに接続、機密情報を取得・換金した。
 ・元従業員が入手した勤務先の設計図面を同業他社で利用し、同種の製品を製造・販売した。
 ・特定部門の複数従業員が、一斉退職して新会社設立に役立てるため顧客情報を持ち出した。

【業務委託/提携先管理の未整備状況を利用した不正の例】
 ・ATM保守管理業務の委託先社員がカード情報を不正取得、キャッシュカードを偽造した。
 ・企業データベースを保守管理するグループ会社の業務委託先社員が販売目的で個人情報を不正取得し換金した。
 ・業務委託先の従業員が委託元の顧客情報を他社に渡した。
 ・委託先に渡した個人情報が再委託先のアルバイトにより複製・換金された。
 ・業務提携先の元社員が研究データを転職先の海外企業に提供した。

【デバイスの盗難・紛失の例】
 ・ノートPCを長期間放置していたところ、いつの間にか売却されていた。
 ・スマートフォンの業務利用を黙認していたところ、業務データの入った端末を紛失した。
 ・業務データが保存されたUSBメモリが盗まれた。
(参考:IPA「組織における内部不正防止ガイドライン」)

 こうした例を見ると、意図的な情報流出は換金目的か、転職先での仕事への利用または就職を有利にする目的で行われていることが分かる。また流出手段は外部記憶媒体にコピーしての外部持ち出しが多く、時にはインターネット、オンラインストレージが使われている。日本ネットワークセキュリティ協会(JNSA)が毎年調査している「情報セキュリティインシデントに関する調査報告書〜個人情報漏えい編(2013年)」によると、情報漏えい経路/媒体で最も多いのが書類などの紙の持ち出しでおよそ7割弱を占めるが、インターネットや外部記憶媒体などが利用されると、インシデント件数はそう多くなくとも、1件あたりに大規模な情報流出が生じうる。例えばインターネットを経由した情報漏えいインシデントは2013年は全体の約9%にすぎなかったが、個人情報漏えい人数で見ると全体の漏えい人数の8割を超えている(約750万人分。ただし明確に内部不正による漏えいと言えるものはこの年はわずかだった)。

 また委託先・提携先企業からの流出、退職者からの流出例も多い。前者は主に換金目的、後者は転職を有利にしたり新会社を設立するといった自分勝手な目的のほか、旧勤務先への敵意や悪感情が背後にあることを感じさせるケースもある。これには機密情報へのアクセス権限が適正に管理されていないこと、あるいは契約やパートナー企業の管理に不備があることがうかがわれる。

 このような不正行為の発見や予防に、ITツールだけで対応するのには無理がある。組織体制や労働環境、人事評価システム、契約条件、その他さまざまな面で、できる対策はすべてとらなければならない。なかでも優先的に整備する必要があると考えられるポイントについて、企業での対策実態はどうかセキュリティベンダーのNRIセキュアテクノロジーズ(以下、NRIセキュア)が調査をしている。特に内部不正防止対策について調査結果をまとめたのが図1だ。

図1 内部不正対策の整備状況
図1 内部不正対策の整備状況
2014年8月29日〜10月17日の期間で上場企業及び未上場で従業員数が多い企業合計3000社へのアンケート調査
(有効回答数660社)
資料提供:NRIセキュア

 2014年に発生した大規模情報漏えい事件の発覚間もないころの調査であり、現在までの間に様子が変わっている可能性はあるが、およその傾向はこの図に示されていると思う。この中で実施済み企業が最も多いのが「重要情報へのアクセスログの取得」だが、それでも55.8%にすぎず、「アクセスログのモニタリング」まで実施している企業は32.9%、残りはログを取得して保管しているのみということのようだ。ただし、「モニタリング」をこれから整備しようとしている率が高いことにも注目だ。同じような傾向を示しているのが「システム管理アカウントの棚卸し」であり、アクセス制御をきちんと実施したいという思いが反映されているものと思われる。例えばアンチウイルスなどの脅威対策に比較して、まだまだ「ログ管理」と「アクセス制御」の対策は浸透しておらず、強化の余地が大きいようだ。以下では「ログ管理」によるセキュリティ強化策を考えてみよう。


1

内部不正とCSIRT

1-1

内部不正防止の5原則

 内部不正防止の基本原則として、IPAの「組織における内部不正防止ガイドライン」は次の5点を挙げている。

【内部不正防止の基本5原則】
・犯行を難しくする(やりにくくする):対策を強化することで犯罪行為を難しくする。
・捕まるリスクを高める(やると見つかる):管理や監視を強化することで捕まるリスクを高める。
・犯行の見返りを減らす(割に合わない):標的を隠したり、排除したり、利益を得にくくする
ことで犯行を防ぐ。
・犯行の誘因を減らす(その気にさせない):犯罪を行う気持ちにさせないことで犯行を抑止する。
・犯罪の弁明をさせない(言い訳させない):犯行者による自らの行為の正当化理由を排除する。

 これらの防止策を講じるために同ガイドラインでは10の観点と30項目の対策を示している。これについては本コーナー「チェック項目で弱点克服! 内部不正の防止策」で詳しく解説しているほか、IPAのWebサイトからガイドラインそのものがPDFでダウンロードできるので、ぜひ参考にしていただきたい。

セキュリティ情報局にご登録頂いた方限定で「内部不正は許さない!ログから不正行為を検知・予防する方法は?」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


ログ管理/内部不正は許さない!ログから不正行為を検知・予防する方法は?」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「ログ管理」関連情報をランダムに表示しています。

ログ管理」関連の製品

ログ管理ツール『ALog SMASH』 【網屋】 監視・ログ管理サーバ GAZERシリーズ 【インフィニコ】 IT資産/セキュリティ統合管理システム ManagementCore 【住友電工システムソリューション】
統合ログ管理 その他サーバー関連 IT資産管理
サーバにある重要データに「いつ、誰が、何をしたか」を記録する製品。対象サーバに直接インストールするため、ログサーバが不要。PCへのエージェントインストールも不要。 記憶装置にフラッシュメモリを使用しディスクレス、ファンレスのスピンドルレス設計で安心の監視・ログ管理サーバ。故障機器を自動認識する「FaultLocator機能」搭載。 資産管理からセキュリティ対策、検疫まで1システムで行える統合管理ツール。
ニーズに応じ段階的な導入が可能。IT資産の把握、監視、統制による健全なシステム環境を実現。

ログ管理」関連の特集


コンシューマ領域で着実に広がりを見せるオンラインストレージ。今回は、「企業向け」オンラインストレージ…



昨年から急増するWebサイトへの成りすましアクセス。時に莫大な損害賠償やブランド毀損を招きかねない不…



近ごろ急増している不正行為がSQLインジェクション。貴社のデータベースと連携するWebアプリケーショ…


ログ管理」関連のセミナー

Logstorage紹介セミナー 【アシスト】  

開催日 12月14日(水)   開催地 大阪府   参加費 無料

業界業種、産官学を問わず、セキュリティ対策、内部統制対応、リスクマネジメントのために、システムから出力されるログを一元管理し活用することが当然となってきておりま…

事例から学ぶ特権ID・監査ログ管理実践セミナー 【NRIセキュアテクノロジーズ】 締切間近 

開催日 10月14日(金),11月10日(木),12月7日(水)   開催地 東京都   参加費 無料

IT全般統制の不備に対する監査法人からの指摘への対応、PCI DSS認定時のアクセス管理要件への適応、リモート作業時のアクセス制御・ログ取得など、現在様々な要件…

事例から学ぶ特権ID・監査ログ管理実践セミナー 【NRIセキュアテクノロジーズ】  

開催日 1月12日(木),2月10日(金),3月9日(木)   開催地 東京都   参加費 無料

IT全般統制の不備に対する監査法人からの指摘への対応、PCI DSS認定時のアクセス管理要件への適応、リモート作業時のアクセス制御・ログ取得など、現在様々な要件…

「運用管理」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


30007767


IT・IT製品TOP > 運用管理 > 統合ログ管理 > 統合ログ管理のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ