2016年6月10日 Interop Tokyo 2016 最新のユーザー事例から学ぶ 特権ID&証跡管理の最前線 監査対応だけではない 本当に内部不正対策として効果のある取り組みとは 2016年6月10日 エンカレッジ テクノロジ株式会社 ENCOURAGE TECHNOLOGIES
本セッションの内容 エンカレッジ テクノロジ会社紹介 内部不正の実態から見た システム管理者 への対策の重要性 システム管理者の不正対策のポイント 弊社動画操作記録 / 特権 ID 管理ソリューションのご紹介 2
エンカレッジ テクノロジ会社紹介 3
会社概要 設 立 資 本 金 所 在 地 事業内容 上場市場 代 表 者 2002年11月1日 5億738万円 2015年9月末現在 東京都中央区日本橋浜町3-3-2 トルナーレ日本橋浜町7F コンピュータシステムソフトの開発 保守並びに販売 コンピュータ運用管理に関するコンサルティング コンピュータ運用管理BPOサービス 東京証券取引所マザーズ 証券コード 3682 代表取締役社長 石井 進也 Value & Satisfaction お客様の視点で新たな価値を創造し 満足いただける製品とサービスを提供します Happiness 社員と会社の目的を一致させ 物心一体の幸福を追求します Compliance 国内外の法令と企業倫理を遵守し 誠実かつ公平に業務を遂行します 4
お客様一覧 弊社ソフトウェアは累計で480社以上のお客様にご採用されています IHI運搬機械株式会社 あいおいニッセイ同和損害保険株式会社 藍澤證券株式会社 株式会社アイネス 株式会社アイネット アイフル株式会社 アイレット株式会社 アニコム損害保険株式会社 飯田信用金庫 いちよし証券株式会社 株式会社インテック SMBC日興証券株式会社 SMBCファイナンスサービス株式会社 SCSK株式会社 NECネッツエスアイ株式会社 NTTコムウェア株式会社 株式会社NTTソルコ 株式会社NTTデータ 株式会社NTTデータSMS 株式会社NTTドコモ オリックス システム株式会社 オリンパス株式会社 カブドットコム証券株式会社 川口信用金庫 関西電力株式会社 キヤノンITソリューションズ株式会社 株式会社山陰合同銀行 湘南信用金庫 株式会社新生銀行 シンプレクス株式会社 株式会社スカイアーチネットワークス スバルシステムサービス株式会社 ソニー銀行株式会社 ソフトバンク株式会社 第一生命保険株式会社 TIS株式会社 株式会社ディー エヌ エー 東京海上日動システムズ株式会社 株式会社東京証券取引所 株式会社東京スター銀行 五十音順 敬略称 東濃信用金庫 ドコモ システムズ株式会社 ニッセイ情報テクノロジー株式会社 株式会社ニッセイコム 株式会社日本総研情報サービス 日本電気株式会社 日本電信電話株式会社 日本ユニシス株式会社 沼津信用金庫 ネットワンシステムズ株式会社 浜松信用金庫 富士通株式会社 ポケットカード株式会社 株式会社みずほ銀行 三井住友アセットマネジメント株式会社 三井生命保険株式会社 三井ダイレクト損害保険株式会社 三菱総研DCS株式会社 三菱電機インフォメーションシステムズ株式会社 三菱UFJ信託銀行株式会社 5
弊社主要パートナー様 6
内部不正の実態から見た システム管理者 への対策の重要性
企業における内部不正の実態 調査結果① 内部不正経験者の約5割がシステム管理者 内部不正経験者の職務の51.0%がシステム管理者 兼務を含む システム管理者は社内システムに精通し 高い アクセス権限 特権ID を有することが多い 内部不正の理由の約6割は故意が認められない うっ かり 内部不正経験者に行為の理由を聞いたところ うっ かり違反 と ルールを知らなかった が合計58.0% 一方 42.0%は故意で 業務が忙しく 終わらせるた めに持ち出す必要があった が16.0% 処遇や待遇に 不満があった が11.0%など 内部不正による 情報セキュリティインシデント実態調査 調査報告書 独立行政法人情報処理推進機構 IPA) 2016年3月 8
特権IDとは コンピューターシステム サーバー ネットワーク データベース アプリケーションなど)に 対してあらゆる権限を有する特別なアカウント 例えるならホテルルームのマスターキー 特権ID管理でないと行えない作業例 アプリケーションのインストール ネットワーク設定の変更 システム構成ファイル 設定ファイルの置き換え ユーザーの作成 削除 パスワード変更 権限変更 システムの再起動 電源シャットダウン データ/ファイルの作成 更新または削除 つまり システムの構築 設定または変更を行う際 特権IDが必要 9
特権IDのリスク 不正アクセスのリスク 高い権限を有するアカウントが不正利用されると 情報漏えいやシステムの不正改ざんなど影響の大きな不 正行為を許してしまう 例えるならマスターキーを落とし 第三者に拾われるリスク 権限の濫用 誤用によるシステムや情報への影響 正当に権利を有する作業者が 権限を濫用 誤用することで 本来許可されない行為が行えてしまう 例えるならルーム係がマスターキーを使ってお客様滞在中の客室に侵入 利用者が特定できない 共有型の特権IDを常に複数の作業者が利用できる状況だと 実際は誰がいつ どんな操作を行ったのか 特定することができず 原因究明が困難になる 例えるならマスターキーが複数のルーム係で使い回しされ いつ誰が何の目的で使ったのか記録がない 10
なぜシステム管理者が不正をするのか ②IT技術と管理対象 ①管理者権限 特権ID の使用 システムの専門知識 システムの変更や問題修正には特権 IDが不可欠 不正使用や濫用されていた場合 影響範囲が大きい DBからの全件抽出など ③システム管理の外部委託化など構 造的問題 IT技術の知識や経験が豊富 責任の所在があいまいに 管理対象システムの仕様等に詳しい 現場の担当者の境遇とシステム上の 権限のアンマッチ 一般に認識されていない 抜け穴 を知っている 証拠を隠滅される恐れ 不正を行う動機を抱え る境遇 労働環境 ミスや不正により影響範囲の大きな問題が発生 発見が遅れ 水際の対策が取れない 11
主なシステム管理者 委託先 による不正事件 年 発生したインシデントの概要 2012年 銀行の共同システムの運用孫請会社社員が偽造カードを作成し 顧客口座から不正に現金 約2,000万円を引き出し 2014年 地方銀行のATM保守ベンダー社員がキャッシュカードを偽造し現金約2,400万円を着服 2014年 通信教育大手のシステム管理再委託先の派遣社員が個人情報 約3,500万件を持ち出し名簿業 者に販売 2014年 医師紹介サービス企業のシステム管理担当元従業員が 役員宛てのメールを自分のプライ ベートアドレスへ自動転送させるようにサーバーを設定し 医師 看護師の個人情報を持 ち出し 2015年 株主向けポイント制度を複数の上場企業向けに運営する事業者が 内部不正により株主の 個人情報を漏えい 12
内部不正対策の是非に関する誤解/誤認識 自社の社員や委託先に 悪人 はいない 委託先がきちんとしていれば 済む問題だ 日々の軽微なルール違反の積み重 ねが深刻な事態につながっている 委託先の不祥事でもお客様への責 任は免れない 深刻なトラブルの裏には 数百の軽微な問 題が隠れている ルール違反 ルール軽視は 全体の風潮へ と蔓延 割れ窓理論 不祥事によってお客様からの信頼を失う のは 委託元の企業自身である 仕事や会社のためにルールを違反 コスト圧縮の圧力がかえって委託 先の対応力を低下 内部統制 JSOX 上のIT監査の 対象が限定的 コストをかけずに対策を実施することは 委託先であっても不可能 財務会計に影響のあるシステムだけが対象 であり 顧客情報などの保護を目的にして いるものではない 仕事が終わらないため データを持ち帰る より優位な提案を行うため不法に情報取得 監査指摘を受けていない 監査で指摘がなければ不正リスク が対策が不要なほど小さいわけで はありません 監査ではリスク管理 統制 プロセスの有 無とその実行状況を確認しますが実効性を 必ずしも保証するものではありません 13
企業における内部不正の実態 調査結果② 内部不正 軽微なルール違反も含む 経験者の約78 は 企業内でまた内部不正が発生す る可能性があると思っている 内部不正のための対策を行っていない企業ほど これまで発生していないので 今後も発生 しない と思っている割合が高い 300 名未満の企業では 内部不正対策について 方針やルールは無い が約 4 割 内部不正による 情報セキュリティインシデント実態調査 調査報告書 独立行政法人情報処理推進機構 IPA) 2016年3月 企業の内部不正リスクに対する認識の甘さが浮き彫りに 規定 ルールがない 順守状況のモニタリングができていない 不正発生状況を把握できていない 14
よくある対策が不十分なケース システム管理担当者 ( 委託先技術者含む ) は管理者権限を有するアカウントを自身で管理しており いつでもシステムへアクセスできる システム管理者は単独でシステム操作を行える 管理者権限を有するアカウントを複数の作業者で共有しており 誰がいつ使用したかの特定ができない システム管理者の実施した作業内容が記録されていない または記録しているものの 点検を実施していない 15
システム管理者の不正対策のポイント
企業と社員とのギャップ 対策に関するアンケート結果 社員の回答結果 内 順位 割合 1 1位 54.2% 2位 対応項目に対する 経営者 管理者の結果 容 順位 割合 2 社内システムの操作の証拠が残る 19 0.0 37.5% 顧客情報などの重要な情報にアクセスした人が監視される アクセ スログの監視等を含む 5 7.3 3位 36.2% これまでに同僚が行ったルール違反が発覚し 処罰されたことがあ る 10 2.7% 4位 31.6% 社内システムにログインするための ID やパスワードの管理を徹底 する 3 11.8% 5位 31.4% 顧客情報などの重要な情報を持ち出した場合の罰則規定を強化する 10 2.7% 1 内部不正への気持ちが低下すると回答した回答者の割合 社員:n=3,000 経営者 管理者:n=110 2 効果が見込める対策と回答した回答者の割合 組織内部者の不正行為による インシデント調査 調査報告書 独立行政法人情報処理機構 IPA 2012年7月 17
本当に必要な特権IDのリスク管理とは 特権IDの管理 アカウント自体を管理すること 特権IDの 使用内容の管理 アカウントを使用して何をしたかを 管理すること システム保守 運用業務では業務上 特権IDの使用は避けられない 内部不正のほとんどのケースは 特権IDの不正な使用ではなく 特権IDを使用できる正当な職務にある者がその権限を 誤用 濫用することで発生している 18
システム管理者 委託先 の不正防止のポイント 1 管理者の監視 操作内容の記 録と点検による抑止 単独によるシステム操作の禁止 操作の監視 操作内容を記録し 定期的にチェック 記録していることを作業者に通知 2 重要な情報の不正なアクセス 特に持ち出し行為 の抑制 重要システムからのファイル移動をモニタリング ファイル持ち出しに対する第三者の介在 持ち出したファイルの履歴保管 原本自体の保管が望ましい 特権ID使用機会の削減 システム管理担当者とアカウント担当者を分離 承認ベースでの特権ID使用の徹底 使用者の特定 3 19
従来のソリューションとその課題 ログ管理 SIEM 収集後に解析を行うため 異常発見までに バックログが発生 テキスト形式のログでは どのような意 図で その操作が行われたのか なぜ誤操 作をしてしまったのか がわからない 特権ID管理 アカウントそのものの管理がメイン 特権IDを使用して何をしたかの管理ができない 場合が多い 高額なソフトウェア費用 比較的長期にわたる設計 導入期間 20
弊社特権 ID& 証跡管理ソリューションのご紹介
規模に応じた2つのパッケージ 小規模システムに最適な オールインワンパッケージ ESS AdminGate VA ゲートウェイ型仮想アプライアンスでインストール等不要 アクセス制御 アクセス者の識別 アクセス内容の記録 不正アクセス防止 情報漏えい対策等の技術的安全管理要 件を網羅 大規模なシステムまでをカバーする システム保守運用の安全対策ソリューション ESS AdminControl ESS REC 機能単位の専門ソフトウェアで構成され 複雑で大規模なシステム にも適用可能なソリューション 特権ID管理 アクセス制御と不正アクセス防止 証跡 アクセス内容のリアルタイムの監視と記録 違反操作検知 22
主要機能 特権IDの使用内容の管理 システム操作 監視/証跡 ログの取得と点検 ログ解析の専門知識がなくても 容易に点検が 可能となるよう 操作内容を動画やテキストで 記録 許可されない操作が実行された場合に即時にア ラートが上がる検知機能 1を装備 ファイル持出制御 機能 情報漏えい対策 2 サーバーからファイルを作業者単独で持ち出せ ないよう持ち出しファイルを制御 持ち出しファイルにマイナンバーや個人情報が 含まれていないか検査し アラートを表示 特権IDの管理 特権IDアクセス管理 機能 アクセス制御 ワークフローを用いた事前申請に基づく特権ID の貸与でアクセス制御を実現 特権IDのパスワードを隠ぺいし 漏えいリスク を低減 許可されないアクセス 異常なアクセス経路の 有無の点検が可能 特権ID使用者識別 機能(アクセス者の識別 特権IDとその使用者の個人を紐づける独自技術 により 特権IDを共有して利用する場合でも 使用者を識別するとともに 許可されないユー ザーによる不正使用を防止 1 ESS AdminGateではLinuxコマンド操作のみに対応 ESS AdminControl/ESS RECではWindows UNIXにも対応します 2 ESS AdminGateのみに提供される機能です 23
システム保守 運用業務のリスクを低減 データセンター/サーバールーム 弊社製品の構成例 アクセス&監視レイヤー 守るべき情報の保管場所 不正な特権ID使用の検査 申請ベースの特権ID貸出 特権ID管理 EAC 中継サーバーへのファイル入出力 は 第三者の関与のもとで実施 シンクライアント端末の併用 でさらにセキュアに 操作端末への直接のファイルの やり取りを仕組みで不可能に 操作内容監視 記録 REC 可搬媒体などの漏洩経路ごと の対策は不要に 操作端末 リスクを中継サーバーに 集約し 集中して監視 中継サーバー 24
ソリューションの効果 ルール 規定 ソリューションのフレームワークに合わせて運用 ルール規定の整備 第三者の承認ベースでの特権ID使用 定期的または使用後の都度パスワード変更 操作内容の記録 ファイル持ち出しに対する第三者の介在 ルールの徹底 ソリューションの機能により ルールを逸した行為が不可能に パスワードが隠蔽されており 未許可で特権IDが使用できない 操作内容は自動で記録されており 保管忘れ ログの消失 改ざんがおきない モニタリングと改善 発生した問題を客観的に評価できる 発生した問題の原因究明と再発防止に有効 25
お客様 ご採用事例のご紹介 アイレット様 AWSクラウド上のシス テムに対する安全対策 でESS RECを採用 SOC2取得に貢献 DeNA 様 基幹系など社内の重要シス テムに対する内部不正対策 としてESS RECを採用 三井ダイレクト損保 様 社内システムの特権ID の管理の効率化にESS AdminControlを採用 半日かかっていた管理 作業が1 2時間程度に 削減 ニッセイコム 様 特権IDの管理を強化するた めにESS AdminGateをご採 用 人事部門におけるマイナン バー対策にも活用 詳細は展示ブースまで 26
動画による操作証跡の効果 テキストログに比べ 高い抑止効果 テキストログでは見えない操作者の 意図 思惑がわかる ヒューマンインターフェイスの観点で 原因を究明し 再発防止が講じやすい ESS RECの再生ツール REC Player で動画形式の操作記録を再生し再現 27
テキストログでは見えない操作者の意図 思惑がわかる 28
ヒューマンインターフェイスの観点で原因を究明し 再発防止が講じやすい Case1 Terminalツール2画面使用時の間違い 検証環境 Case2 ミス発生時のUI操作の検証 本番環境 29
まとめ
まとめ これまで発生している情報漏えい等のインシデントの中で システムの管理者 ( またはその委託先 ) によるケースは 半分以上を占め かつインシデントの規模 影響範囲が大きく 優先して対処すべきリスク要因です 内部不正に対する企業のリスク認識が低い状況ですが 軽微なルール違反 うっかり違反が日常化する中で 大きなインシデントにつながることを認識し 内部不正対策を講じる必要があります 特権 ID のリスク要因を考えると ID そのものの管理よりも その ID を使って何をしたかの管理を行うことが重要です エンカレッジ テクノロジは 従来よりシステム運用管理業務の安全を担保するためのソリューションを提供しており 企業における安全対策実現のご支援を行っております 31
展示ブースのご案内 Security World内 エンカレッジ テクノロジブースへ是非お越しください 弊社展示ブースで ご紹介した弊社製品の実機デモがご覧いただけます またハンズアウトで お配りしていない資料各種を配布しております 各種ホワイトペーパー その他のお客様導入事例 電子メモ帳 携帯バッテリー オリジナルQuoカード 32
33