事 例 から 考 える IT 内 部 不 正 の 現 状 と 対 応 白 濱 直 哉 2015 年 5 月 22 日
サイバーリスクに 関 する 豊 富 な 経 験 があります 自 己 紹 介 監 査 法 人 系 リスクコンサルティング 会 社 シニアマネジャー 東 京 電 機 大 学 国 際 化 サイバーセキュリティ 学 特 別 コース 外 部 講 師 大 手 情 報 セキュリティ 会 社 を 経 て 監 査 法 人 系 のリスクコンサルティング 会 社 に 入 社 大 学 を 卒 業 して17 年 間 貫 してサイバーセキュリティ 関 連 のコンサルティング 業 務 に 携 わる 現 在 は 様 々な 業 種 に 対 して 技 術 的 なセキュリティ 対 策 支 援 やインシデント 対 応 組 織 の 事 業 継 続 やレギュレーション 対 応 という 観 点 からのサイバーリスク 対 応 支 援 を っ ている 内 部 不 正 関 連 の 業 務 経 験 不 正 アクセスや 情 報 漏 洩 調 査 ediscovery 支 援 不 正 会 計 インサイダー 反 社 取 引 (データ 保 全 や 分 析 等 IT 調 査 の 支 援 ) 本 資 料 および 講 演 内 容 の 意 に 関 する 部 分 は 私 であり 所 属 する 法 の 公 式 解 ではありません 2 第 19 回 サイバー 犯 罪 に 関 する 白 浜 シンポジウム
アジェンダ はじめに 内 部 不 正 とは 不 正 の 事 例 と 対 策 対 策 のまとめ 不 正 発 時 の 対 応 ( 少 しだけ)
はじめに
不 正 が 発 する 会 社 ってどんなんなんでしょう 本 日 お 話 したいこと 1 公 開 されている 内 部 不 正 は 氷 の 2 3 誰 もが 不 正 為 者 になりうる しかし 簡 単 に 防 げる 内 部 不 正 はごまんとある 本 気 の 内 部 不 正 に 対 する 対 策 は 常 に 困 難 発 する 仕 組 みが 重 要 5 第 19 回 サイバー 犯 罪 に 関 する 白 浜 シンポジウム
内 部 不 正 は 対 岸 の 火 事 か 内 部 不 正 対 策 を 阻 害 する 組 織 の 認 識 不 正 を う 職 員 はいない 不 正 が 発 した 組 織 でさえ みなショックを 受 け を 痛 めている 同 様 のことを 起 こなさないと 全 員 から 一 筆 も らったので 大 丈 夫 との 認 識 漏 洩 して 困 る 情 報 はない 組 織 として 活 動 をしているのであれば 必 ず 何 かしらの 価 値 ある 情 報 があるはずです また 組 織 に 対 する 活 動 妨 害 を 目 的 に 不 正 を う 可 能 性 もあります 対 策 は 万 全 である 内 部 不 正 対 策 はその 特 徴 から 標 的 型 攻 撃 よりも 対 策 も 発 も 困 難 と えます 実 効 性 のある 対 策 が われているか 内 部 に 攻 撃 者 がいるという 前 提 で 確 認 することが 重 要 です このような 認 識 の 組 織 が 多 いのが 現 実 6 第 19 回 サイバー 犯 罪 に 関 する 白 浜 シンポジウム
内 部 不 正 とは
なぜ 不 正 が 発 するのか 不 正 発 の 要 因 となる3 要 素 機 会 不 正 が 可 能 な 環 境 内 部 統 制 の 不 備 形 骸 化 権 限 管 理 の 不 備 システムの 脆 弱 性 未 監 視 機 会 動 機 不 正 を 働 くきっかけ 個 人 的 な 経 済 問 題 プレッシャー 待 遇 への 不 満 動 機 正 当 化 不 正 のトライアングル 正 当 化 不 正 を 正 当 化 する 理 由 会 社 が 悪 い みんなやってる バレない お は 返 す 8 第 19 回 サイバー 犯 罪 に 関 する 白 浜 シンポジウム
内 部 不 正 の 内 部 の 定 義 はさまざまあります 内 部 の 定 義 内 部 物 理 セキュリティの 内 側 へ ち る テンポラリでない 権 限 を 有 する 人 一 般 公 開 していない 情 報 システムにIPリーチャブルな テンポラ リでない 権 限 を 有 する 人 役 職 員 常 駐 しているシステム 開 発 や 運 用 等 の 人 派 遣 社 員 等 その 他 上 記 以 外 組 織 と 契 約 関 係 のない 第 三 者 テンポラリで 入 室 する 業 者 過 去 に 契 約 があった 者 ( 退 職 者 等 ) 等 特 定 のシステムや 情 報 へのアクセス 権 は 無 関 係 9 第 19 回 サイバー 犯 罪 に 関 する 白 浜 シンポジウム
不 正 といってもいろいろあります 不 正 の 分 類 不 正 汚 職 資 産 への 不 正 不 正 報 告 利 益 相 反 贈 収 賄 資 関 連 資 関 連 財 務 関 連 非 財 務 関 連 参 考 : 本 公 認 会 計 協 会 不 正 調 査 ガイドライン ACFE 2012 年 度 版 職 業 上 の 不 正 と 濫 に 関 する 国 への 報 告 書 職 業 上 の 不 正 と 濫 不 正 の 体 系 図 10 第 19 回 サイバー 犯 罪 に 関 する 白 浜 シンポジウム 資 産 の 横 領 等 本 講 演 での 不 正 情 報 漏 洩 情 報 毀 損 知 的 財 産 流 等
不 正 を う もいろいろあります 不 正 為 者 の 分 類 ( 検 討 中 ) 不 正 為 者 悪 意 善 意 能 動 的 受 動 的 11 第 19 回 サイバー 犯 罪 に 関 する 白 浜 シンポジウム
本 講 演 では IT 内 部 不 正 の 定 義 組 織 内 の 情 報 システムにIPリーチャブルな 者 が 契 約 期 間 中 に 情 報 情 報 システム 資 産 に 対 して 故 意 に 法 令 コンプライアンス 違 反 を う こと 12 第 19 回 サイバー 犯 罪 に 関 する 白 浜 シンポジウム
タイプ 別 の 事 例 と 対 策
根 っからの 悪 者 が 犯 す 不 正 は 全 体 の30% 弱!?( 白 濱 調 べ) タイプ 別 不 正 為 者 の 概 要 概 要 割 合 1 善 意 の 不 正 為 者 悪 いこと 不 正 である という 認 識 がない 状 態 で 不 正 を 実 する 者 良 いことをしている と 思 っている もいる 10% 弱 2 悪 意 のある 受 動 的 不 正 為 者 機 会 を 認 識 したがために 動 機 や 正 当 性 が まれ 不 正 を 実 する 者 悪 いこと 不 正 である という 認 識 はある 60% 強 3 悪 意 のある 能 動 的 不 正 為 者 動 機 を 満 たすために 積 極 的 に 機 会 を 探 し 不 正 を 実 する 者 正 当 性 による めは 利 かない 30% 弱 14 第 19 回 サイバー 犯 罪 に 関 する 白 浜 シンポジウム
不 正 の 認 識 がない 為 でも 内 部 不 正 に 該 当 するケースがあります 1 善 意 の 不 正 為 者 の 事 例 出 向 職 員 による 出 向 元 への 情 報 漏 洩 概 要 親 会 社 に 出 向 した 子 会 社 職 員 が 親 会 社 の 営 業 秘 密 を 子 会 社 の 上 司 にメールで 送 信 し ていた 過 去 何 年 にもわたって 慣 例 的 に われてい た 為 であり 出 向 者 は 前 任 の 担 当 者 から 引 継 ぎ 当 たり 前 のこととして っていた 発 の 経 緯 メールログの 分 析 機 会 動 機 正 当 化 情 報 へのアクセスやメール 送 信 が 可 能 であり 監 視 も わ れていない 情 報 を 送 るものだと 思 ってい た( 指 示 されていた) 正 当 化 の 必 要 はない( 契 約 違 反 の 認 識 がない) 15 第 19 回 サイバー 犯 罪 に 関 する 白 浜 シンポジウム
悪 意 がなければ 問 題 がない と 思 い 実 するケースがあります 1 善 意 の 不 正 為 者 の 事 例 宅 に 送 信 したクライアントの 情 報 が 漏 洩 概 要 システム 開 発 を 請 け 負 う 会 社 の 職 員 が 自 宅 で 作 業 をするため クライアントから 受 領 した 情 報 等 を 宅 に 送 信 し 送 信 した 情 報 が 漏 洩 した 機 会 情 報 へのアクセスやメール 送 信 が 可 能 であり 監 視 も わ れていない 発 の 経 緯 クライアントがプロジェクト 名 でWeb 検 索 動 機 宅 で 仕 事 がしたかった ( 高 評 価 がもらいたかった) 正 当 化 人 一 倍 ガンバっているのだか ら 問 題 ではない 16 第 19 回 サイバー 犯 罪 に 関 する 白 浜 シンポジウム
いますぐ 出 来 る 対 策 で 内 部 不 正 が10% 減 るかもしれません 1 善 意 の 不 正 為 者 の 対 策 機 会 情 報 へのアクセスやメール 送 信 が 可 能 であり 監 視 も わ れていない 適 切 な 内 部 統 制 の 構 築 (リスク 分 析 等 を い どこにどのようなリス クが 潜 在 し どのような 影 響 可 能 性 があるか 認 識 し 対 策 する) 動 機 情 報 を 送 るものだと 思 って いた 宅 で 仕 事 がしたかった 情 報 取 扱 ルールや 契 約 コンプライアンスの 再 確 認 教 育 事 例 等 による 教 育 正 当 化 正 当 化 の 必 要 はない 人 一 倍 ガンバっているのだ から 問 題 ではない 倫 理 教 育 悪 意 のない 不 正 為 者 には 教 育 が 効 果 的 17 第 19 回 サイバー 犯 罪 に 関 する 白 浜 シンポジウム
内 部 統 制 の 不 備 が 不 正 の 動 機 の 引 き になるケースは 多 いです 2 受 動 的 な 不 正 為 者 の 事 例 残 業 データを 変 更 し の 給 与 を 増 額 概 要 人 事 部 給 与 担 当 者 が 毎 月 集 計 される 残 業 時 間 数 が 入 った 残 業 データファイルを 書 き 換 え 残 業 当 を 横 領 した 業 務 続 およびシステム 権 限 管 理 ( 内 部 統 制 )の 不 備 であり 本 は 結 婚 を 控 えてお り 内 部 統 制 に 不 備 がなければ このよ うなことはしなかった 可 能 性 もある 機 会 動 機 残 業 データにアクセスができ 誰 もチェックしていないこと を 知 っていた お が 欲 しかった 発 の 経 緯 給 与 計 算 をしている 委 託 先 の 直 感 正 当 化 オレだってガンバってのに みなの 方 がもらってる 絶 対 バレないし! 18 第 19 回 サイバー 犯 罪 に 関 する 白 浜 シンポジウム
適 切 な 内 部 統 制 の 構 築 および 通 しのよい 環 境 で 内 部 不 正 の 半 はなくなるかもしれません 2 受 動 的 な 不 正 為 者 の 対 策 機 会 残 業 データにアクセスができ 誰 もチェックしていないこと を 知 っていた 適 切 な 内 部 統 制 の 構 築 (リスク 分 析 等 を い どこにどのようなリス クが 潜 在 し どのような 影 響 可 能 性 があるか 認 識 し 対 策 する) 動 機 お が 欲 しかった 情 報 取 扱 ルールや 契 約 コンプライアンスの 再 確 認 教 育 事 例 等 による 教 育 正 当 化 オレだってガンバってのに みなの 方 がもらってる 絶 対 バレないし! 倫 理 教 育 内 部 不 正 による 情 報 漏 洩 も 同 じです 19 第 19 回 サイバー 犯 罪 に 関 する 白 浜 シンポジウム
自 己 中 心 的 で 善 悪 の 区 別 もつかない 人 も 世 の 中 にはいます 3 能 動 的 な 不 正 為 者 の 事 例 退 職 後 に 会 社 のシステムが 動 かなくなるよう 細 工 概 要 年 システム 管 理 者 を 兼 務 していたが 会 社 でいやなことがあり 退 職 を 決 意 自 身 が 退 職 後 にシステムに 不 都 合 が 起 きる ようタイマーを 仕 込 み 退 職 機 会 会 社 にITがわかる 人 がいなく て 自 身 に 権 限 が 集 中 発 の 経 緯 システム 障 害 動 機 憂 さ 晴 らし( 仕 返 し) 正 当 化 これくらい 当 然 の 酬 い 20 第 19 回 サイバー 犯 罪 に 関 する 白 浜 シンポジウム
悪 意 をもって 能 動 的 に 不 正 を 実 する 者 の 対 策 は 困 難 です 3 能 動 的 な 不 正 為 者 の 対 策 機 会 会 社 にITがわかる 人 がいなく て 自 身 に 権 限 が 集 中 適 切 な 内 部 統 制 の 構 築 ( 個 人 に 権 限 を 集 中 させない BCPの 観 点 から も バックアップ 体 制 は 必 要 ) 動 機 憂 さ 晴 らし( 仕 返 し) 透 明 性 のある 人 事 評 価 等 コンプライアンス 教 育 社 内 コミュニケーションの 充 実 正 当 化 これくらい 当 然 の 酬 い 倫 理 ( 間 ) 教 育 防 げなくても 発 できる 仕 組 みは 必 須 です 21 第 19 回 サイバー 犯 罪 に 関 する 白 浜 シンポジウム
対 策 のまとめ
画 期 的 な 対 策 などないと 考 え 地 道 に 対 応 する 必 要 がある 対 策 のまとめ 1 教 育 ( 主 にコンプライアンス 系 ) 2 内 部 統 制 の 構 築 3 発 的 コントロール 全 社 員 から 守 る くらいのつもりで 対 応 する 必 要 がある 23 第 19 回 サイバー 犯 罪 に 関 する 白 浜 シンポジウム
守 るべき 情 報 資 産 を 明 確 にし 周 辺 のリスクを 洗 い 出 す 内 部 統 制 の 構 築 APT 対 策 の 考 え 方 に 似 ている 情 報 漏 洩 対 策 情 報 のライフサイクルを 詳 細 に 分 析 し どこにどのようなリスクが 潜 在 するか 把 握 し 対 応 する システム 上 のリスクポイント 例 システムの 不 正 利 システムを 把 握 し 厳 格 な 権 限 管 理 を 実 施 する 24 第 19 回 サイバー 犯 罪 に 関 する 白 浜 シンポジウム
発 されることがわかっていて 不 正 を う がどれほどいるか 次 世 代 型 モニタリング?の 導 入 度 な 不 正 アクセスの 発 法 と 似 ている 発 的 コントロール 業 務 アプリケーションのログや 電 子 メール も 含 めたモニタリングを うことで セ キュリティインシデントだけではなく 業 務 上 の 不 正 等 の 発 も う 25 第 19 回 サイバー 犯 罪 に 関 する 白 浜 シンポジウム
参 考 ) 内 部 不 正 対 策 状 況 のチェックリスト 定 義 と 責 任 の 明 確 化 1. 重 要 情 報 の 定 義 及 びアクセス 権 限 者 が 明 確 化 され 管 理 に 関 するルールがあるか 2. 情 報 の 責 任 者 を 明 確 にし 責 任 者 はその 責 任 を 認 識 しているか 重 要 情 報 の 所 在 を 明 確 にし アクセス 権 限 者 を 限 定 3. 情 報 のライフサイクルや 業 務 フロー データフローが 管 理 され どこにどのような 情 報 が 残 るのか 把 握 しているか(システムが 利 するテンポラリ 等 を 含 む) 4. 重 要 情 報 が 保 存 されたサーバ 等 へのアクセスが 許 可 されたもの 以 外 から 拒 否 されること を 確 認 しているか 5. 重 要 情 報 へのアクセスを 改 竄 ができない 仕 組 みで 記 録 し トレースが 可 能 な 状 態 か 6. 退 職 者 による 不 正 を 想 定 した 退 職 プロセスが 定 義 され 厳 格 に 運 されているか 情 報 の 出 口 を 押 さえる 7. USBデバイス 等 情 報 システムと 物 理 的 論 理 的 に 接 続 できるものを 把 握 し 媒 体 情 報 の 持 ち 出 しを 管 理 しているか 8. 重 要 情 報 が 保 存 されたシステムが 物 理 的 に 保 護 されているか 9. 相 互 監 視 やログ 確 認 等 により 牽 制 機 能 が 働 く 環 境 になっているか 10. 動 機 正 当 化 を 低 減 させるための 教 育 等 の 施 策 を 実 施 しているか 既 存 の 安 全 管 理 措 置 に 対 して 実 証 的 検 証 を 含 めた 再 確 認 が 必 要 26 第 19 回 サイバー 犯 罪 に 関 する 白 浜 シンポジウム
さいごに ( 不 正 発 時 の 対 応 の 考 え について 少 し )
全 員 がクライシスと 呼 ぶなら それはクライシスです インシデントとクライシス -モーガン ダウニー ラサールグローバル どのような 対 応 を うかで 組 織 のレピュテーションは きく 変 わる 決 断 のある 指 揮 動 する- 動 しないこともひとつの 決 断 コントロール 可 能 なことに 集 中 し コントロール 不 能 なことを 受 け れる インシデントは 現 場 で 管 理 し クライシスは 組 織 全 体 で 管 理 する 継 続 的 なクライシスの 把 握 日 々 再 評 価 する- 計 画 に 執 着 してはならない インシデントに 気 を 取 られ クライシスを 失 ってはならない 活 発 なコミュニケーション 自 ら 語 る メディアに 語 らせてはならない 一 貫 したメッセージを 内 外 に 伝 える : : 28 第 19 回 サイバー 犯 罪 に 関 する 白 浜 シンポジウム
クライシスは 物 理 的 な 災 害 を 超 えます デロイトによるクライシスの 定 義 クライシスは 事 業 の 存 続 を 脅 かす 単 独 若 しくは 複 合 的 な 事 象 です 企 業 政 府 組 織 労 働 組 合 政 治 団 体 マーケットシェアと 市 場 価 値 信 および 財 務 リソース 現 物 の 設 備 等 の 資 産 知 的 財 産 信 頼 性 ブランド 収 益 性 払 能 / 財 政 状 態.. 組 織 の 戦 略 標 レピュテーション その 組 織 の 存 在 をも 著 しく 毀 損 させる 大 規 模 な もしくは 複 合 的 な 事 象 を 指 します サイバー 攻 撃 悪 意 不 正 為 融 犯 罪 対 テクノロ ジーおよび 産 業 に 対 する 脅 威 財 政 難 倒 産 自 然 災 害 や 人 為 的 災 害 等 の 大 惨 事 これらはすべて 財 政 的 なクライシスのきっかけとなる 可 能 性 があります 29 第 19 回 サイバー 犯 罪 に 関 する 白 浜 シンポジウム
ご 清 聴 ありがとうございます