IaaSサービスにおける仮想的監視カメラ

Size: px

Start display at page:

Download "IaaSサービスにおける仮想的監視カメラ"

しげじろうねぎたや
7 years ago
Views:

1 2016年6月10日 Interop Tokyo 2016 最新のユーザー事例から学ぶ特権ID&証跡管理の最前線監査対応だけではない本当に内部不正対策として効果のある取り組みとは 2016年6月10日エンカレッジテクノロジ株式会社 ENCOURAGE TECHNOLOGIES

2 本セッションの内容エンカレッジテクノロジ会社紹介内部不正の実態から見たシステム管理者への対策の重要性システム管理者の不正対策のポイント弊社動画操作記録 / 特権 ID 管理ソリューションのご紹介 2

3 エンカレッジテクノロジ会社紹介 3

4 会社概要設立資本金所在地事業内容上場市場代表者 2002年11月1日 5億738万円 2015年9月末現在東京都中央区日本橋浜町3-3-2 トルナーレ日本橋浜町7F コンピュータシステムソフトの開発保守並びに販売コンピュータ運用管理に関するコンサルティングコンピュータ運用管理BPOサービス東京証券取引所マザーズ証券コード 3682 代表取締役社長石井進也 Value & Satisfaction お客様の視点で新たな価値を創造し満足いただける製品とサービスを提供します Happiness 社員と会社の目的を一致させ物心一体の幸福を追求します Compliance 国内外の法令と企業倫理を遵守し誠実かつ公平に業務を遂行します 4

お客様一覧弊社ソフトウェアは累計で480社以上のお客様にご採用されています IHI運搬機械株式会社あいおいニッセイ同和損害保険株式会社藍澤證券株式会社株式会社アイネス株式会社アイネットアイフル株式会社アイレット株式会社アニコム損害保険株式会社飯田信用金庫いちよし証券株式会社株式会社インテック SMBC日興証券株式会社 SMBCファイナンスサービス株式会社 SCSK株式会社

5 お客様一覧弊社ソフトウェアは累計で480社以上のお客様にご採用されています IHI運搬機械株式会社あいおいニッセイ同和損害保険株式会社藍澤證券株式会社株式会社アイネス株式会社アイネットアイフル株式会社アイレット株式会社アニコム損害保険株式会社飯田信用金庫いちよし証券株式会社株式会社インテック SMBC日興証券株式会社 SMBCファイナンスサービス株式会社 SCSK株式会社 NECネッツエスアイ株式会社 NTTコムウェア株式会社株式会社NTTソルコ株式会社NTTデータ株式会社NTTデータSMS 株式会社NTTドコモオリックスシステム株式会社オリンパス株式会社カブドットコム証券株式会社川口信用金庫関西電力株式会社キヤノンITソリューションズ株式会社株式会社山陰合同銀行湘南信用金庫株式会社新生銀行シンプレクス株式会社株式会社スカイアーチネットワークススバルシステムサービス株式会社ソニー銀行株式会社ソフトバンク株式会社第一生命保険株式会社 TIS株式会社株式会社ディーエヌエー東京海上日動システムズ株式会社株式会社東京証券取引所株式会社東京スター銀行五十音順敬略称東濃信用金庫ドコモシステムズ株式会社ニッセイ情報テクノロジー株式会社株式会社ニッセイコム株式会社日本総研情報サービス日本電気株式会社日本電信電話株式会社日本ユニシス株式会社沼津信用金庫ネットワンシステムズ株式会社浜松信用金庫富士通株式会社ポケットカード株式会社株式会社みずほ銀行三井住友アセットマネジメント株式会社三井生命保険株式会社三井ダイレクト損害保険株式会社三菱総研DCS株式会社三菱電機インフォメーションシステムズ株式会社三菱UFJ信託銀行株式会社 5

6 弊社主要パートナー様 6

7 内部不正の実態から見たシステム管理者への対策の重要性

8 企業における内部不正の実態調査結果① 内部不正経験者の約5割がシステム管理者内部不正経験者の職務の51.0%がシステム管理者兼務を含むシステム管理者は社内システムに精通し高いアクセス権限特権ID を有することが多い内部不正の理由の約6割は故意が認められないうっかり内部不正経験者に行為の理由を聞いたところうっかり違反とルールを知らなかったが合計58.0% 一方 42.0%は故意で業務が忙しく終わらせるために持ち出す必要があったが16.0% 処遇や待遇に不満があったが11.0%など内部不正による情報セキュリティインシデント実態調査調査報告書独立行政法人情報処理推進機構 IPA) 2016年3月 8

アプリケーションのインストールネットワーク設定の変更システム構成ファイル設定ファイルの置き換えユーザーの作成削除

9 特権IDとはコンピューターシステムサーバーネットワークデータベースアプリケーションなど)に対してあらゆる権限を有する特別なアカウント例えるならホテルルームのマスターキー特権ID管理でないと行えない作業例アプリケーションのインストールネットワーク設定の変更システム構成ファイル設定ファイルの置き換えユーザーの作成削除パスワード変更権限変更システムの再起動電源シャットダウンデータ/ファイルの作成更新または削除つまりシステムの構築設定または変更を行う際特権IDが必要 9

10 特権IDのリスク不正アクセスのリスク高い権限を有するアカウントが不正利用されると情報漏えいやシステムの不正改ざんなど影響の大きな不正行為を許してしまう例えるならマスターキーを落とし第三者に拾われるリスク権限の濫用誤用によるシステムや情報への影響正当に権利を有する作業者が権限を濫用誤用することで本来許可されない行為が行えてしまう例えるならルーム係がマスターキーを使ってお客様滞在中の客室に侵入利用者が特定できない共有型の特権IDを常に複数の作業者が利用できる状況だと実際は誰がいつどんな操作を行ったのか特定することができず原因究明が困難になる例えるならマスターキーが複数のルーム係で使い回しされいつ誰が何の目的で使ったのか記録がない 10

IT技術の知識や経験が豊富責任の所在があいまいに管理対象システムの仕様等に詳しい現場の担当者の境遇とシステム上の権限のアンマッチ

11 なぜシステム管理者が不正をするのか ②IT技術と管理対象 ①管理者権限特権ID の使用システムの専門知識システムの変更や問題修正には特権 IDが不可欠不正使用や濫用されていた場合影響範囲が大きい DBからの全件抽出など ③システム管理の外部委託化など構造的問題 IT技術の知識や経験が豊富責任の所在があいまいに管理対象システムの仕様等に詳しい現場の担当者の境遇とシステム上の権限のアンマッチ一般に認識されていない抜け穴を知っている証拠を隠滅される恐れ不正を行う動機を抱える境遇労働環境ミスや不正により影響範囲の大きな問題が発生発見が遅れ水際の対策が取れない 11

主なシステム管理者委託先による不正事件年発生したインシデントの概要 2012年銀行の共同システムの運用孫請会社社員が偽造カードを作成し顧客口座から不正に現金約2,000万円を引き出し 2014年地方銀行のATM保守ベンダー社員がキャッシュカードを偽造し現金約2,400万円を着服 2014年

12 主なシステム管理者委託先による不正事件年発生したインシデントの概要 2012年銀行の共同システムの運用孫請会社社員が偽造カードを作成し顧客口座から不正に現金約2,000万円を引き出し 2014年地方銀行のATM保守ベンダー社員がキャッシュカードを偽造し現金約2,400万円を着服 2014年通信教育大手のシステム管理再委託先の派遣社員が個人情報約3,500万件を持ち出し名簿業者に販売 2014年医師紹介サービス企業のシステム管理担当元従業員が役員宛てのメールを自分のプライベートアドレスへ自動転送させるようにサーバーを設定し医師看護師の個人情報を持ち出し 2015年株主向けポイント制度を複数の上場企業向けに運営する事業者が内部不正により株主の個人情報を漏えい 12

JSOX 上のIT監査の対象が限定的コストをかけずに対策を実施することは委託先であっても不可能財務会計に影響のあるシステムだけが対象であり顧客情報などの保護を目的にしているものではない仕事が終わらないためデータを持ち帰る

13 内部不正対策の是非に関する誤解/誤認識自社の社員や委託先に悪人はいない委託先がきちんとしていれば済む問題だ日々の軽微なルール違反の積み重ねが深刻な事態につながっている委託先の不祥事でもお客様への責任は免れない深刻なトラブルの裏には数百の軽微な問題が隠れているルール違反ルール軽視は全体の風潮へと蔓延割れ窓理論不祥事によってお客様からの信頼を失うのは委託元の企業自身である仕事や会社のためにルールを違反コスト圧縮の圧力がかえって委託先の対応力を低下内部統制 JSOX 上のIT監査の対象が限定的コストをかけずに対策を実施することは委託先であっても不可能財務会計に影響のあるシステムだけが対象であり顧客情報などの保護を目的にしているものではない仕事が終わらないためデータを持ち帰るより優位な提案を行うため不法に情報取得監査指摘を受けていない監査で指摘がなければ不正リスクが対策が不要なほど小さいわけではありません監査ではリスク管理統制プロセスの有無とその実行状況を確認しますが実効性を必ずしも保証するものではありません 13

企業における内部不正の実態調査結果② 内部不正軽微なルール違反も含む経験者の約78 は企業内でまた内部不正が発生する可能性があると思っている内部不正のための対策を行っていない企業ほどこれまで発生していないので今後も発生しないと思っている割合が高い 300 名未満の企業では

14 企業における内部不正の実態調査結果② 内部不正軽微なルール違反も含む経験者の約78 は企業内でまた内部不正が発生する可能性があると思っている内部不正のための対策を行っていない企業ほどこれまで発生していないので今後も発生しないと思っている割合が高い 300 名未満の企業では内部不正対策について方針やルールは無いが約 4 割内部不正による情報セキュリティインシデント実態調査調査報告書独立行政法人情報処理推進機構 IPA) 2016年3月企業の内部不正リスクに対する認識の甘さが浮き彫りに規定ルールがない順守状況のモニタリングができていない不正発生状況を把握できていない 14

15 よくある対策が不十分なケースシステム管理担当者 ( 委託先技術者含む ) は管理者権限を有するアカウントを自身で管理しておりいつでもシステムへアクセスできるシステム管理者は単独でシステム操作を行える管理者権限を有するアカウントを複数の作業者で共有しており誰がいつ使用したかの特定ができないシステム管理者の実施した作業内容が記録されていないまたは記録しているものの点検を実施していない 15

16 システム管理者の不正対策のポイント

17 企業と社員とのギャップ対策に関するアンケート結果社員の回答結果内順位割合 1 1位 54.2% 2位対応項目に対する経営者管理者の結果容順位割合 2 社内システムの操作の証拠が残る % 顧客情報などの重要な情報にアクセスした人が監視されるアクセスログの監視等を含む位 36.2% これまでに同僚が行ったルール違反が発覚し処罰されたことがある % 4位 31.6% 社内システムにログインするための ID やパスワードの管理を徹底する % 5位 31.4% 顧客情報などの重要な情報を持ち出した場合の罰則規定を強化する % １内部不正への気持ちが低下すると回答した回答者の割合社員:n=3,000 経営者管理者:n=110 ２効果が見込める対策と回答した回答者の割合組織内部者の不正行為によるインシデント調査調査報告書独立行政法人情報処理機構 IPA 2012年7月 17

18 本当に必要な特権IDのリスク管理とは特権IDの管理アカウント自体を管理すること特権IDの使用内容の管理アカウントを使用して何をしたかを管理することシステム保守運用業務では業務上特権IDの使用は避けられない内部不正のほとんどのケースは特権IDの不正な使用ではなく特権IDを使用できる正当な職務にある者がその権限を誤用濫用することで発生している 18

19 システム管理者委託先の不正防止のポイント 1 管理者の監視操作内容の記録と点検による抑止単独によるシステム操作の禁止操作の監視操作内容を記録し定期的にチェック記録していることを作業者に通知 2 重要な情報の不正なアクセス特に持ち出し行為の抑制重要システムからのファイル移動をモニタリングファイル持ち出しに対する第三者の介在持ち出したファイルの履歴保管原本自体の保管が望ましい特権ID使用機会の削減システム管理担当者とアカウント担当者を分離承認ベースでの特権ID使用の徹底使用者の特定 3 19

20 従来のソリューションとその課題ログ管理 SIEM 収集後に解析を行うため異常発見までにバックログが発生テキスト形式のログではどのような意図でその操作が行われたのかなぜ誤操作をしてしまったのかがわからない特権ID管理アカウントそのものの管理がメイン特権IDを使用して何をしたかの管理ができない場合が多い高額なソフトウェア費用比較的長期にわたる設計導入期間 20

21 弊社特権 ID& 証跡管理ソリューションのご紹介

22 規模に応じた2つのパッケージ小規模システムに最適なオールインワンパッケージ ESS AdminGate VA ゲートウェイ型仮想アプライアンスでインストール等不要アクセス制御アクセス者の識別アクセス内容の記録不正アクセス防止情報漏えい対策等の技術的安全管理要件を網羅大規模なシステムまでをカバーするシステム保守運用の安全対策ソリューション ESS AdminControl ESS REC 機能単位の専門ソフトウェアで構成され複雑で大規模なシステムにも適用可能なソリューション特権ID管理アクセス制御と不正アクセス防止証跡アクセス内容のリアルタイムの監視と記録違反操作検知 22

主要機能特権IDの使用内容の管理システム操作監視/証跡ログの取得と点検ログ解析の専門知識がなくても

持ち出しファイルにマイナンバーや個人情報が含まれていないか検査しアラートを表示特権IDの管理

の貸与でアクセス制御を実現特権IDのパスワードを隠ぺいし漏えいリスクを低減許可されないアクセス

特権IDとその使用者の個人を紐づける独自技術により特権IDを共有して利用する場合でも

23 主要機能特権IDの使用内容の管理システム操作監視/証跡ログの取得と点検ログ解析の専門知識がなくても容易に点検が可能となるよう操作内容を動画やテキストで記録許可されない操作が実行された場合に即時にアラートが上がる検知機能 1を装備ファイル持出制御機能情報漏えい対策 2 サーバーからファイルを作業者単独で持ち出せないよう持ち出しファイルを制御持ち出しファイルにマイナンバーや個人情報が含まれていないか検査しアラートを表示特権IDの管理特権IDアクセス管理機能アクセス制御ワークフローを用いた事前申請に基づく特権ID の貸与でアクセス制御を実現特権IDのパスワードを隠ぺいし漏えいリスクを低減許可されないアクセス異常なアクセス経路の有無の点検が可能特権ID使用者識別機能(アクセス者の識別特権IDとその使用者の個人を紐づける独自技術により特権IDを共有して利用する場合でも使用者を識別するとともに許可されないユーザーによる不正使用を防止 1 ESS AdminGateではLinuxコマンド操作のみに対応 ESS AdminControl/ESS RECではWindows UNIXにも対応します 2 ESS AdminGateのみに提供される機能です 23

24 システム保守運用業務のリスクを低減データセンター/サーバールーム弊社製品の構成例アクセス&監視レイヤー守るべき情報の保管場所不正な特権ID使用の検査申請ベースの特権ID貸出特権ID管理 EAC 中継サーバーへのファイル入出力は第三者の関与のもとで実施シンクライアント端末の併用でさらにセキュアに操作端末への直接のファイルのやり取りを仕組みで不可能に操作内容監視記録 REC 可搬媒体などの漏洩経路ごとの対策は不要に操作端末リスクを中継サーバーに集約し集中して監視中継サーバー 24

25 ソリューションの効果ルール規定ソリューションのフレームワークに合わせて運用ルール規定の整備第三者の承認ベースでの特権ID使用定期的または使用後の都度パスワード変更操作内容の記録ファイル持ち出しに対する第三者の介在ルールの徹底ソリューションの機能によりルールを逸した行為が不可能にパスワードが隠蔽されており未許可で特権IDが使用できない操作内容は自動で記録されており保管忘れログの消失改ざんがおきないモニタリングと改善発生した問題を客観的に評価できる発生した問題の原因究明と再発防止に有効 25

26 お客様ご採用事例のご紹介アイレット様 AWSクラウド上のシステムに対する安全対策でESS RECを採用 SOC2取得に貢献 DeNA 様基幹系など社内の重要システムに対する内部不正対策としてESS RECを採用三井ダイレクト損保様社内システムの特権ID の管理の効率化にESS AdminControlを採用半日かかっていた管理作業が1 2時間程度に削減ニッセイコム様特権IDの管理を強化するためにESS AdminGateをご採用人事部門におけるマイナンバー対策にも活用詳細は展示ブースまで 26

27 動画による操作証跡の効果テキストログに比べ高い抑止効果テキストログでは見えない操作者の意図思惑がわかるヒューマンインターフェイスの観点で原因を究明し再発防止が講じやすい ESS RECの再生ツール REC Player で動画形式の操作記録を再生し再現 27

28 テキストログでは見えない操作者の意図思惑がわかる 28

29 ヒューマンインターフェイスの観点で原因を究明し再発防止が講じやすい Case1 Terminalツール２画面使用時の間違い検証環境 Case２ミス発生時のUI操作の検証本番環境 29

30 まとめ

31 まとめこれまで発生している情報漏えい等のインシデントの中でシステムの管理者 ( またはその委託先 ) によるケースは半分以上を占めかつインシデントの規模影響範囲が大きく優先して対処すべきリスク要因です内部不正に対する企業のリスク認識が低い状況ですが軽微なルール違反うっかり違反が日常化する中で大きなインシデントにつながることを認識し内部不正対策を講じる必要があります特権 ID のリスク要因を考えると ID そのものの管理よりもその ID を使って何をしたかの管理を行うことが重要ですエンカレッジテクノロジは従来よりシステム運用管理業務の安全を担保するためのソリューションを提供しており企業における安全対策実現のご支援を行っております 31

32 展示ブースのご案内 Security World内エンカレッジテクノロジブースへ是非お越しください弊社展示ブースでご紹介した弊社製品の実機デモがご覧いただけますまたハンズアウトでお配りしていない資料各種を配布しております各種ホワイトペーパーその他のお客様導入事例電子メモ帳携帯バッテリーオリジナルQuoカード 32

33 33

事故前提社会における　　　　　　　　　　　企業を支えるシステム操作統制とは

事故前提社会における　　　　　　　　　　　企業を支えるシステム操作統制とは調査結果から見えた優先すべき内部不正対策 2016 年 6 月エンカレッジテクノロジ株式会社近年内部不正を原因とする情報漏えい事件の報道が相次いでおり被害も深刻化していますそのため企業にとって情報漏えい等を防止するための内部不正対策は対応すべき重要課題の一つですしかしながら講じるべき対策とその範囲はあまりに広く優先して取り組むべきポイントを考慮する必要があります内部不正経験者の半数以上はシステム管理者

IaaSサービスにおける 仮想的監視カメラ

IaaSサービスにおける仮想的監視カメラ