調査結果から見えた優先すべき内部不正対策 2016 年 6 月 エンカレッジ テクノロジ株式会社 近年 内部不正を原因とする情報漏えい事件の報道が相次いでおり 被害も深刻化しています そのため 企業にとって 情報漏えい等を防止するための内部不正対策は 対応すべき重要課題の一つです しかしながら 講じるべき対策とその範囲はあまりに広く 優先して取り組むべきポイントを考慮する必要があります 内部不正経験者の半数以上はシステム管理者 独立行政法人情報処理推進機構 (IPA) が行った調査 ( 以後 IPA 調査 ) 1 では 過去に内部不正 ( 軽微なルール違反を 含む ) を起こした人 ( 内部不正経験者 ) の属性を訪ねたところ 半数以上がシステム管理者 ( 兼務を含む ) という結 果でした 図 1. 内部不正経験者の内訳 ( 業務 ) 出典 : 組織内部者の不正行為によるインシデント調査 - 調査報告書 (2016 年 3 月 ) 独立行政法人情報処理機構 IPA では この結果について システム管理者は社内システムに精通し 高いアクセス権限 ( 特権 ) を有することが多いため 権限の最小化 分散 作業監視等の対策が有効といえる とまとめています システム管理者が実施するシステムの保守 運用においては プログラムや OS のパッチ適用など対象のシステムの変更ができるようシステムに対して様々な権限を有する 特権 ID を頻繁に使用することがあるため その濫用 不正な使用が懸念されます 1
社員の考える有効な対策と企業が考える対策にギャップ 前述した IPA 調査では 内部不正経験者が考える不正防止の有効な対策と企業 管理者が考える有効だと思う対策にギ ャップがあるという結果も明らかになっています 表 1. 効果的だと思う対策の比較 内部不正経験者と経営者 システム管理者 出典 組織内部者の不正行為による インシデント調査 調査報告書 2016 年 3 月 独立行政法人情報処理機構 内部不正経験者 1位 50.0 対 策 ネットワークの利用制限がある メールの送受信先の制 経営者 システム管理者 2位 30.3% 4位 27.0% 1位 43.9% 限 Web メールへのアクセス制限 Web サイトの閲覧 制限 がある 2位 46.5% 技術情報や顧客情報などの重要情報にアクセスした人 が 監視される アクセスログの監視等を含む 3位 43.0% 技術情報や顧客情報などの重要情報は特定の職員のみ が アクセスできる 4位 25.0% 職務上の成果物を公開した場合の罰則規定を強化する 12 位 12.8% 5位 23.5% 管理者を増員する等 社内の監視体制を強化する 11 位 13.1% 内部不正経験者 n=200 経営者 システム管理者 n=1500 IPA では 2012 年にも内部不正の実態に関する調査を行っていますが この調査において 社員と企業の間で有効と考え る対策に大きなギャップがみられており その傾向は続いているとしています 表 2. 対策に関するアンケート結果 上位5位 社員 出典 組織内部者の不正行為による インシデント調査 調査報告書 2012 年 7 月 独立行政法人情報処理機構 社員 対 策 対応項目に対する経営 者 管理者の結果 1位 54.2 社内システムの操作の証拠が残る 2位 37.5 顧客情報などの重要な情報にアクセスした人が監視され 19 位 0.0 5位 7.3 10 位 2.7% 3位 11.8% 10 位 2.7 る アクセスログの監視等を含む 3位 36.2 これまでに同僚が行ったルール違反が発覚し 処罰され たことがある 4位 31.6% 社内システムにログインするための ID やパスワードの 管理を徹底する 5位 31.4% 顧客情報などの重要な情報を持ち出した場合の罰則規定 を強化する 社員:n=3,000 経営者 管理者:n=110 2
この両方の調査結果で共通して言えるのは 企業は アクセス制御を行うなど不正ができないようにする予防的対策が効 果が高い考える傾向がある一方 社員が不正を思いとどまる対策としては 証拠が残る 監視されているといった発見的 対策と罰則規定の強化などが上位にあげられている点です 調査結果が示す内部不正で優先すべきポイント 以上のことから 企業が優先すべき内部不正対策には 以下の2つがあげられます ポイント1 システム管理者に対する対策を優先すべき IPA 調査が示す通り 内部不正経験者のうち半数以上がシステム管理者 兼務含む である背景には システム保守 運 用業務の中で 特権 ID を使用する場面が多くあり その管理不備により システム管理者の権限濫用を招く場合があると いうことを示しています 現に昨今発生している多くの情報漏えい事件は 企業のシステム管理者またはシステム管理を 委託している外部委託先企業の従業員 派遣社員によって引き起こされています このようなことから システム管理者 委託先含む に対する内部不正対策について 他の様々な課題に先んじて取り組 むべき優先課題だと考えられます ポイント 2: 監視および証跡確保が最も効果の高い取り組み 企業が考える対策は アクセス制御など予防策が中心ですが IPA 調査の結果を見る限り 内部不正経験者や社員の立場 では アクセスの履歴が残る証跡確保であったり アクセスの様子を監視されているといった 発見的対策が 不正を抑 止 防止するのに有効だという結果になっています また システム管理者は 前述したとおり 業務の性質上特権 ID の使用が避けられず 権限を減らしてアクセスそのもの を制御することが難しいのが現状です したがって システム管理者に対する内部不正対策で優先すべきは システムに 対してアクセスしている際の監視とアクセス内容の記録と保管 および定期的なチェックを行うことであると考えられま す 3
弊社のシステム管理者向け統制ソリューション 弊社では システム管理者の内部不正を防止する統制 リスク管理ソリューションを提供し 企業の統制活動の強化のご 支援を行っています 現在 システムや企業の規模に合わせて 2つのラインナップをご用意しています 小規模システム向けオールインワンパッケージ ESS AdminGate VA ESS AdminGate VA は 比較的小規模なシステム対し 特権 ID 証跡管理を実現するパッケージです ワークフ ロー ID 貸与 操作証跡の取得 ファイルの入出力管理などの必要機能をオールインワンで提供 仮想アプライア ンス方式によって提供されるため 導入 設定が容易ですぐにご利用いただけるのがメリットです 大規模で細かな要件に対応できる ESS AdminControl ESS REC 特権 ID 管理を担う ESS AdminControl 証跡管理を実現する ESS REC とそれぞれの機能に特化した専門製品を 組み合わせ 必要な対策を講じる中 大規模システム向けのソリューションです それぞれの製品は細かな要件に 応えられるよう高機能であり 環境に応じて柔軟にシステム構成を変えることも可能です 弊社ソリューション主要機能 弊社ソリューションは 特権 ID に係るリスク対処に必要な対策を以下の機能を提供することで実現しています システム操作 監視/証跡 ログ解析の専門知識がなくても 容易に点検 が可能となるよう 操作内容を動画やテキス トで記録 許可されない操作が実行された場合に即時 にアラートが上がる検知機能 特権 ID に対するアクセス制御 ファイル持出制御 情報漏えい対策 サーバーからファイルを作業者単独で持ち出 せないよう持ち出しファイルを制御 持ち出しファイルにマイナンバーや個人情報が 含まれていないか検査し アラートを表示 特権 ID 使用者の識別 ワークフローを用いた事前申請に基づく特権 特権 ID とその使用者の個人を紐づける独自 ID の貸与でアクセス制御を実現 技術により 特権 ID を共有して利用する場 特権 ID のパスワードを隠ぺいし 漏えいリス 合でも 使用者を識別するとともに 許可され クを低減 ないユーザーによる不正使用を防止 4
参考 引用文献 組織内部者の不正行為による インシデント調査 調査報告書 独立行政法人情報処理推進機構 IPA 2012 年 7 月 組織内部者の不正行為による インシデント調査 調査報告書 独立行政法人情報処理推進機構 IPA 2016 年 3 月 本ホワイトペーパーに記載の内容は 内部不正の防止を完全に保証するものではございません 本資料に記載されている 弊社製品の機能は予告なく仕様変更される場合がございます あらかじめご了承ください 5
高度標的型攻撃対策のためのアクセス管理 & 証跡管理 2016 年 6 月 6 日発行 エンカレッジ テクノロジ株式会社 103-0007 東京都中央区日本橋浜町 3-3-2 トルナーレ日本橋浜町 7F URL : http://www.et-x.jp/ Phone : 03-5623-2622 Fax : 03-3660-5822 * 文中に記載されている会社名 商品 サービス名は それぞれ各社の商標または登録商標です 6