外 部 要 因 だけじゃない!! 止 まらない 内 部 犯 行 による 情 報 漏 えい ~ 効 果 的 な 抑 止 方 法 と 事 後 対 応 策 ~ ネットエージェント 株 式 会 社 2015 年 12 月 2 日
内 部 情 報 漏 えいとは? 2
情 報 漏 えいの 分 類 外 部 要 因 内 部 要 因 直 接 攻 撃 型 内 部 侵 入 型 故 意 によるもの ミスによるもの SQLインジェクション リスト 型 攻 撃 いわゆる 標 的 型 の 攻 撃 いわゆる 内 部 犯 行 メールの 誤 送 信 ノートPCやUSBの 紛 失 他 のセッションで 本 セッションはこちら! 3
内 部 者 による 情 報 漏 えいの 特 徴 漏 えいする 情 報 の 幅 が 広 い 正 規 にアクセス 権 限 を 持 つ 人 物 が 絡 む 可 能 性 が 高 い 非 常 に 発 覚 しにくい 公 表 されることが 少 ない 4
内 部 情 報 漏 えいが 起 きてしまったら 5
内 部 犯 による 情 報 漏 えいの 事 後 対 応 内 部 犯 による 情 報 漏 えいの 事 後 対 応 概 略 フロー 弁 護 士 へ 相 談 告 訴 発 覚 証 拠 固 め 調 査 誰 が 何 時 やったのか? 何 を 漏 えいしたのか? 本 人 聴 取 内 々で 処 理 6
どこを 調 べるのか? ADサーバ メールサーバ ファイルサーバ スイッチングハブ ファイアウォール クライアント 端 末 インターネット Proxyサーバ 7
どこを 調 べるのか ADサーバ メールサーバ ファイルサーバ 端 末 に 残 る 痕 跡 クライアント 端 末 ファイルそのもの ファイルの 作 スイッチングハブ ファイアウォール 成 変 更 消 去 等 のタイムスタンプ 消 去 されたファイルの 断 片 プログラムの 実 行 履 歴 インターネット Webブラウザの 閲 覧 履 歴 や 一 時 ファイル Proxyサーバ 8
クライアント 端 末 クライアント 端 末 に 情 報 が 残 っている 可 能 性 は 漏 えいした 情 報 や 痕 跡 は 消 されることが 多 い クライアント 端 末 に 情 報 が 残 っているかどうかは その 後 どれぐらい 端 末 が 使 われたか? にかかる 9
どこを 調 べれば 分 かるのか [ 各 サーバ 端 末 ログでわかる 情 報 ] 誰 が どのIPなのか 誰 が いつログインしたのか どこから 何 に 対 して コピー/ 削 除 されたのか ファイルの 操 作 履 歴 ADサーバ メールサーバ ファイルサーバ スイッチングハブ ファイアウォール クライアント 端 末 ( 端 末 ログ) インターネット どこから どこに どれ 位 のサイズの ファイルが 転 送 されのか Proxyサーバ 10
つまり 端 末 の 痕 跡 は 端 末 利 用 状 況 に 左 右 される また 漏 えいしたかどうか 確 定 ではない ログからは 実 際 にどんなファイルが 漏 れたかの 特 定 は 難 しいため 証 拠 性 に 乏 しい 11
内 部 要 因 による 漏 えい 事 例 社 員 による 営 業 秘 密 漏 えい 案 件 ファイルサーバ ファイル: ( 秘 密 情 報 ).xls アクセス ファイル: 飲 み 会 のお 知 らせ.doc 作 成 ファイル 編 集 ファイル 参 照 ファイル 編 集 サーバログ 端 末 ログ 端 末 調 査 ファイル: ( 秘 密 情 報 ).xls ファイル 送 信 ファイル 編 集 ファイル: 飲 み 会 のお 知 らせ.doc 12
内 部 要 因 による 漏 えい 事 例 ファイルサーバ ファイル: ( 秘 密 情 報 ).xls アクセス ファイル: 飲 み 会 のお 知 らせ.doc 作 成 ファイル 編 集 実 質 的 な 漏 えい ファイル 参 照 ファイル 編 集 内 容 のコピー 若 し くは 転 載 ファイル 送 信 ファイル 編 集 ファイル: ( 秘 密 情 報 ).xls 無 関 係 な 内 容 への 書 き 換 え ファイル: 飲 み 会 のお 知 らせ.doc 13
内 部 要 因 による 漏 えい 事 例 ファイルサーバ ファイル: ( 秘 密 情 報 ).xls アクセス ファイル: 飲 み 会 のお 知 らせ.doc 作 成 ファイル 編 集 これを 押 さえる 以 外 確 実 ではない ファイル 参 照 ファイル 編 集 ファイル 送 信 ファイル 編 集 ファイル: ( 秘 密 情 報 ).xls ファイル: 飲 み 会 のお 知 らせ.doc 14
通 信 データを 取 っておくには 何 をしたらいいのか! パケットキャプチャ という 手 があります 通 信 データを 経 路 上 で 全 て 取 得 して 保 管 ができることができる 製 品 です パケットキャプチャは 防 犯 カメラのように 証 拠 保 全 と 事 後 調 査 が 可 能 になります 情 報 漏 えいが 起 きた 時 に 正 確 な 情 報 がわかります! 15
情 報 漏 えい 対 策 製 品 パケットブラックホール 社 内 ネットワークを 記 録 再 現 できるパケットキャプチャ ネットワークの 防 犯 カメラ HTTPSを 復 号 できるプロキシ 16
PacketBlackHole PacketBlackHole(PBH)は リピーターHUBやミラーポート 付 きのスイッチから 通 信 をコピーし 取 得 します 取 得 した 通 信 を 分 析 処 理 し PBHの 管 理 画 面 にて 検 索 再 現 可 能 な 状 態 にします インターネット 1. 通 信 をコピーして 取 得 2. 通 信 を 取 得 解 析 し 再 現 3. 通 信 内 容 を 確 認 PacketBlackHole 管 理 端 末 クライアント 端 末 17
暗 号 化 されたWEBサイト(HTTPS 通 信 )を 見 るために 最 近 のWebサイトの 中 でも 暗 号 化 されたWebサイトが 増 加 しています しかし パケットキャプチャだけでは 暗 号 化 されている 通 信 の 内 容 は 見 れません HTTPS 暗 号 化 通 信 を 復 号 化 する Counter SSL Proxy を 利 用 することで 見 ることができます インターネット 1. 取 得 した 通 信 を 転 送 HTTP HTTPS 2. 通 信 を 取 得 解 析 し 再 現 3. 通 信 内 容 を 確 認 PacketBlackHole 管 理 端 末 クライアント 端 末 18
内 部 情 報 漏 えいを 防 ぎたい 19
内 部 不 正 を 防 止 するには 一 般 社 員 向 けアンケートの 結 果 内 部 不 正 行 為 防 止 に 効 果 が 期 待 できる 対 策 TOP3 社 内 システムの 操 作 の 証 拠 が 残 る 54.2% 顧 客 情 報 などの 重 要 な 情 報 にアクセスした 人 が 監 視 され る(アクセスロ グの 監 視 等 を 含 む) これまでに 同 僚 が 行 ったルール 違 反 が 発 覚 し 処 罰 され たことがある 独 立 行 政 法 人 情 報 処 理 推 進 機 構 (IPA) 組 織 内 部 者 の 不 正 行 為 によるインシデント 調 査 報 告 書 2012 年 7 月 17 日 https://www.ipa.go.jp/files/000014169.pdf 37.5% 36.2% 20
不 正 のトライアングル 動 機 プレッシャー 機 会 の 認 識 正 当 化 ドナルド R クレッシーによる 不 正 のトライアングル 21
割 れ 窓 理 論 割 れ 窓 理 論 (われまどりろん 英 : Broken Windows Theory)とは 軽 微 な 犯 罪 も 徹 底 的 に 取 り 締 まることで 凶 悪 犯 罪 を 含 めた 犯 罪 を 抑 止 できるとする 環 境 犯 罪 学 上 の 理 論 アメリカの 犯 罪 学 者 ジョージ ケリング( 英 語 版 )が 考 案 した 建 物 の 窓 が 壊 れているのを 放 置 すると 誰 も 注 意 を 払 っていないと いう 象 徴 になり やがて 他 の 窓 もまもなく 全 て 壊 される との 考 え 方 からこの 名 がある ブロークン ウィンドウ 理 論 壊 れ 窓 理 論 ともいう ~Wikipedia~ 22
まとめ したかの 追 跡 を 確 実 に 行 える 環 境 作 り 我 々は 情 報 セキュリティに 強 い 関 心 を 持 っている という の 発 信 という 空 気 感 ( 共 有 認 識 )の 醸 成 23
最 後 に 無 料 お 貸 出 キャンペーン PacketBlackHoleの 評 価 機 を でお 貸 し 出 しします! 社 内 の 通 信 を 確 認 して を しませんか? 24
お 問 い 合 わせ ご 清 聴 ありがとうございました ネットエージェント 株 式 会 社 コンサルタント 村 田 営 業 部 中 村 Mail: pbh-sales@netagent.co.jp URL: http://www.netagent.co.jp/ 25
参 考 資 料 デモスクリーンショット 26
参 考 資 料 :PBHでメールを 確 認 検 索 タブ メールタブを 開 くと PacketBlackHoleで 取 得 したメール 通 信 の 内 容 を 確 認 できます メールの 内 容 は 本 文 件 名 差 出 人 受 取 人 添 付 ファイル をそのままの 状 態 に 再 現 します 誰 でも 簡 単 に どのようなメールが 送 受 信 されたのか 確 認 することが 出 来 ます 27
参 考 資 料 :PBHで 添 付 ファイルを 確 認 添 付 ファイル 名 をクリックすれば 添 付 ファイルの 内 容 の 確 認 できます 28
参 考 資 料 :PBHでWEBメールを 確 認 WEBメール 画 面 では GmailとYahoo maiの 内 容 を 確 認 できます 29
参 考 資 料 :PBHでWEBメールの 添 付 ファイルを 確 認 WEBメールの 添 付 ファイルも そのまま 再 現 できます 30
参 考 資 料 :PBHで 持 ち 出 しされたファイルを 発 見 検 索 機 能 を 使 って 社 内 からファイルが 持 ち 出 されていないか 調 査 してみましょう 社 内 でのGmail 利 用 が 認 められていない 場 合 を 想 定 し 実 際 に 社 内 でのGmail 利 用 有 無 を 確 認 するためにGmailを 検 索 Gmailを 介 した 持 ち 出 し 発 生 を 確 認 するために 送 信 メールを 検 索 上 記 以 外 の 検 索 条 件 1 件 怪 しいメールが 見 つかりました 添 付 ファイルを 確 認 してみましょう! 31
参 考 資 料 :PBHで 持 ち 出 されたファイルを 確 認 社 外 秘 のファイルが 持 ち 出 されていることを 発 見 し ました! このように PacketBlackHoleは 情 報 漏 えいの 発 見 原 因 の 調 査 が 簡 単 に 実 現 できます 32
参 考 資 料 :PBHでファイルアップロード 通 信 を 確 認 何 が 確 認 できる? インターネットを 使 って 外 に 出 て 行 ったファイルの 実 態 が 確 認 できます 33
参 考 資 料 :PBHでファイルダウンロード 通 信 を 確 認 何 が 確 認 できる? インターネットを 使 って 中 に 入 ってきたファイルの 実 態 が 確 認 できます 34