内部不正を許さない、ログから不正行為を検知する方法：セキュリティ強化塾（1/4 ページ）

　2014年に発生した国内最大規模の情報漏えい事件は、「内部関係者からの情報漏えい」のあまりに危険な影響を身近に感じさせた。周到なセキュリティ対策をとっていてさえ、そこに潜む小さな弱点が悪用されると重大な被害につながってしまう現実を前に、途方に暮れたIT担当者も多いのではないだろうか。

　だからといって手をこまねいてはいられない。脅威への直接的な対策整備に加えて別の角度からの対策強化が今こそ必要だ。特に内部不正を防ぐためのセキュリティ重点対策として「ログ管理」と「アクセス制御」の2つを取り上げ、2回に分けて対策を考えていきたい。本稿では内部不正防止のポイントと、対策としての「ログ管理」に焦点を絞って考えてみよう。

内部不正のパターンと対策の浸透度

　内部不正、あるいは不正とは言い切れないまでも会社のポリシーや常識的な規範を逸した内部関係者（社員、非正規社員、退職した従業員など）の行動をどう把握すればよいのか。機密情報漏えいのポイントがそこにあることが近年の情報漏えい事件から読みとれる。例えば次のような事例が報道されている（参考：IPA「組織における内部不正防止ガイドライン」）。

内部関係者に与えられた権限を利用した不正の例

業務委託先や提携先管理の未整備状況を利用した不正の例

デバイスの盗難や紛失の例

　こうした例を見ると、意図的な情報流出は換金目的か、転職先での仕事への利用または就職を有利にする目的で行われていることが分かる。また流出手段は外部記憶媒体にコピーしての外部持ち出しが多く、時にはインターネット、オンラインストレージが使われている。

　日本ネットワークセキュリティ協会（JNSA）が毎年調査している「情報セキュリティインシデントに関する調査報告書〜個人情報漏えい編（2013年）」によると、情報漏えい経路／媒体で最も多いのが書類などの紙の持ち出しでおよそ7割弱を占めるが、インターネットや外部記憶媒体などが利用されると、インシデント件数はそう多くなくとも、1件当たりに大規模な情報流出が生じ得る。

　例えばインターネットを経由した情報漏えいインシデントは2013年は全体の約9％にすぎなかったが、個人情報漏えい人数で見ると全体の漏えい人数の8割を超えている（約750万人分。ただし明確に内部不正による漏えいといえるものはこの年はわずかだった）。

　また委託先や提携先企業からの流出、退職者からの流出例も多い。前者は主に換金目的、後者は転職を有利にしたり新会社を設立するといった自分勝手な目的の他、旧勤務先への敵意や悪感情が背後にあることを感じさせるケースもある。これには機密情報へのアクセス権限が適正に管理されていないこと、あるいは契約やパートナー企業の管理に不備があることがうかがわれる。

　このような不正行為の発見や予防に、ITツールだけで対応するのには無理がある。組織体制や労働環境、人事評価システム、契約条件、その他さまざまな面で、できる対策は全てとらなければならない。

　なかでも優先的に整備する必要があると考えられるポイントについて、企業での対策実態はどうかセキュリティベンダーのNRIセキュアテクノロジーズ（以下、NRIセキュア）が調査をしている。特に内部不正防止対策について調査結果をまとめたのが図1だ。

図1 内部不正対策の整備状況。2014年8月29日〜10月17日の期間で上場企業および未上場で従業員数が多い企業合計3000社へのアンケート調査（有効回答数660社）（出典：NRIセキュア）

　2014年に発生した大規模情報漏えい事件の発覚間もないころの調査であり、現在までの間に様子が変わっている可能性はあるが、およその傾向はこの図に示されている。

　この中で実施済み企業が最も多いのが「重要情報へのアクセスログの取得」だが、それでも55.8％にすぎず、「アクセスログのモニタリング」まで実施している企業は32.9％、残りはログを取得して保管しているのみということのようだ。

　ただし、「モニタリング」をこれから整備しようとしている率が高いことにも注目だ。同じような傾向を示しているのが「システム管理アカウントの棚卸し」であり、アクセス制御をきちんと実施したいという思いが反映されているものと思われる。

例えばアンチウイルスなどの脅威対策に比較して、まだまだ「ログ管理」と「アクセス制御」の対策は浸透しておらず、強化の余地が大きいようだ。以下では「ログ管理」によるセキュリティ強化策を考えてみよう。

Copyright © ITmedia, Inc. All Rights Reserved.