内部不正対策の現状と効果的な対策
日本国内では2014年に内部不正による大きな情報漏えい事件が発生し、それ以来、内部不正による情報漏えい事件が後を絶ちません。
内部不正による情報漏えいは、外部からの攻撃よりも被害額が大きく、企業の信用に大きなダメージを与えます。
しかし、「自社の従業員に不正行為をするものはいない」という過信からリスクを軽視して対策を後回しにしたり、内部不正によるインシデントが発生しても、会社の信用や風評被害を恐れ組織内部で処理されるため、公開される事件は氷山の一角にすぎません。
そのため、十分な内部不正対策が進んでいないのが現実です。
ここでは内部不正の現状と、その効果的な対策についてご紹介します。
- 内部不正とは
- 内部不正とは、企業内の関係者による機密情報や情報資産の窃取、持ち出し、漏えい、消去、破壊などの不正行為をいいます。
関係者は企業の役員や正規従業員だけではなく、外注業者、業務委託先、ビジネスパートナー、契約社員、退職者などにおよびます。
<目次>
内部不正の現状と実態
世界のサイバーセキュリティにおける内部不正の状況
「2015 Vormetric insider threat report」によると、世界全体では89%の企業に、内部不正に対する脆弱性があり、内部不正に対する十分なセキュリティ対策をしており心配はないと回答した企業はたった11%でした(図1)。
また、脆弱性があると回答した企業89%のうち、34%の企業が非常に高い脆弱性リスクがあると回答しています。
内部不正による被害額
「Ponemon 2015 cost of cyber crime global study」によると、悪意のある内部関係者が起こした犯罪による平均被害額は、他の悪意ある活動に比べて甚大となります(図2)。
コストの内容は、調査費用、ダメージコントロール、顧客やビジネス損失によるものです。
内部不正は検出が困難で解決に長時間を要する
「Ponemon 2015 cost of cyber crime global study」によると、内部不正による犯罪は検出が困難で、調査に時間がかかるため、解決にも長い時間がかかります (図3)。
セキュリティの専門家は内部不正による犯罪の多くは検出されず未解決のままになっていると、この結果に同意しています。
内部不正に関わる危険な関係者
内部不正に関わる関係者は、正規従業員だけではなく、外注業者、業務委託先、ビジネスパートナー、契約社員、退職者なども含まれることは冒頭に説明した通りです。
「2015 Insider Threats Spotlight Report」では、正規従業員よりも、特権ユーザーと契約社員が最も危険であることを示しています(図4)。
セキュリティ専門家が懸念する内部不正の種類
「2015 Insider Threats Spotlight Report」で、セキュリティ専門家に最も懸念する内部不正の種類を尋ねたところ、情報漏えいと不注意によるデータ漏えいがトップに並びました。
人的ミスによる内部不正の割合が大きい傾向にあることを示しています(図5)。
内部不正を引き起こす日常的な行動
従業員が日常業務で実行している行動や使用しているテクノロジーには、本質的に安全ではないものがあります。
悪意のある従業員が、これらの要因を悪用する可能がありますし、これらの要因のある環境でユーザーによるミスが誘発され、重大なデータ漏えいやセキュリティ違反に繋がる可能性があります。
「Clearswift Insider Threat Index (CITI)」 は、米国企業でリスクレベルの要因を調査した結果を示しています(図6)。
内部不正の検出
効果的な内部不正対策を実施するための最初のステップは、内部不正をいかに検出するかです。これまでの実例が示す通り、これは多くの企業にとって最も難しい検討事項です。
内部不正の検出を特に困難にする要因は以下の3点です。
- 内部関係者は重要なデータや環境への正当なアクセス権を持っている。
- 内部関係者の危険な行動は通常の行動と明確に区別できない。
- 誤検知の可能性が高い。
これらの要因を解消するには複雑な手法を適用する必要があります。
検討すべき手法の1つとして、従業員の日常的な行動の変化の検出があります。
セキュリティ専門家は従業員の通常の行動パターンを知ることによって、急な疑わしい変化を警告できます。
次は、US-CERT発行の「Combating the insider threat」で説明されているもので、企業が悪意のある行動を検出し、抑止するための指標とする、きっかけとなる行為を示しています。
- 従業員が休暇、週末、病欠時に企業のネットワークで作業している。
- 従業員が特定の申請や上長の承認なく、勤務時間外に社内で作業している。
- 従業員が残業時間、勤務時間外、週末に非常に熱心に作業している。
- 従業員が重要なデータの、不要なバックアップやコピーを実施している。
- 従業員が直接の権限外の業務に異常に強い関心を示している。
- 従業員に経済的困難、ギャンブル、健康状態、アルコール、薬物乱用などの問題がある。
- 従業員が予期しない旅行や休暇をとったり、急に大金を得たり、多額のローンを返済している。
内部不正を検出するもう1つの信頼性があり効果的な方法は、ユーザー行動モニタリングです。
企業のセキュリティ対策において、重要な資産や環境へのユーザーアクセスを監視するのは必要不可欠な対策で、多くの業界でモニタリングはコンプライアンス規定で要求されています。
IPAの「組織内部者の不正行為によるインシデント調査報告書」(2012年7月)によると、従業員にとって、最も抑止力が高い対策は「社内システムの操作の証拠が残る (54%)」でしたが、この項目は経営者、システム管理者では19位となっており、内部不正対策に、社員と管理者の意識のギャップが見られました。
経営者が講じる対策が必ずしも効果的に機能していない可能性があることを指摘しています。
さらに、「2015 Insider Threats Spotlight Report」のデータでは、現在、企業の3分の2以上が十分な従業員のモニタリング対策を導入していないことを示しています (図7) 。
アクセスログは初期の対策としては有効ですが、特権ユーザーや同じアカウントを共有するユーザーの監視については十分なデータを提供できず、全体として内部不正を検出するには十分ではありません。
ユーザーモニタリングの状態が不十分だと、検出スピードや検出率において期待した十分な効果は得られません。
「2015 Insider Threats Spotlight Report」では、企業が内部不正を検出するのに、どれくらいの時間がかかると思うかを尋ねています。
1番多かった回答は「1週間以内」という回答で、42%の企業が1週間以内に内部不正を検出できると回答しました。
そのうち28%が1日以内に検出できると回答しています。
そして一番心配なのは、検出にどのくらいの時間がかかるかわからない、または検出できないと40%の企業が回答したことです。
従来のログ管理は基本的なセキュリティ対策ですが、内部不正の検出には膨大なテキストログの加工や分析に非常に多くの時間と労力を要し、専門的な知識も要求されます。
そのため、内部不正対策としてはさらに効率のいいセキュリティ対策が求められます。
操作画面ログによる効率的な内部不正対策
内部不正を検出し、制御する最も効果的な方法の1つは、専用のユーザーモニタリングツールを使用することです。
ジュピターテクノロジーが提供する証跡管理製品では以下のような、内部不正対策に効果的な機能を提供します。
セッション画面を録画
ユーザーの画面に表示されるすべての操作を画像で記録します。アプリケーション名、アクティブウィンドウ、キーストローク、コマンド、URLなどのメタデータが同時に記録されます。
画像はユーザーごとにインデックス化され簡単に検索できます。
特権ユーザーのモニタリング
システムの特権レベルに関係なく、すべてのユーザーを監視できます。管理者でもモニタリングを停止したり、ブロックすることはできません。
悪意のある処理を実行したり、正規の承認なしで重要なデータにアクセスするとき、メタデータによって拡張された画像ログを使って明確に視覚化されます。
契約社員、業務委託先のモニタリング
リモート接続によるすべて操作を画像で記録し、インシデントの要因をすばやく発見できます。
アラートとリアルタイム通知
カスタマイズ可能なアラートと通知機能により、危険な操作をリアルタイムにセキュリティ担当者に通知できます。
メールで送信される通知には関連する画像ログへのリンクが付けられユーザーの行動を正確に参照できます。
ユーザーが悪意ある操作を実行しようとした場合、即座にユーザーの操作をブロックし内部不正を防ぐことができます。
USB デバイスの管理
挿入されたUSBデバイスを検出し、オプションで自動的にUSBデバイスの使用をブロックすることができます。
ホワイトリストを使って、特定のUSBデバイスのみの使用を許可することもできます。
レポートとフォレンジックス
企業の内部不正の検出や分析を支援するため、ユーザー操作に関するさまざまなレポートを生成します。フォレンジックス機能を使うと、法的証拠となる情報を提供できます。
二次認証
ユーザーがOS にログオンした時に、OS のログオンダイアログに続けて、もう1つログオンダイアログを表⽰します(二次認証ダイアログ)。
Administrator アカウントなどを複数ユーザーが共有しているとき、ユーザー個⼈を識別できます。
ログオンメッセージ
ユーザーがOS にログオンしたときに、メッセージダイアログを表⽰できます。ユーザーはボタンをクリックして応答しなければOS にログオンできません。
監視されていることを明示的にユーザーに伝えることで抑止力を高めることができます。
強制ログオフ
管理ツールから操作して、現在監視対象のコンピューターにログオンしているユーザーを強制的にログオフさせます。
ジュピターテクノロジーが提供する内部不正対策製品
証跡管理
Ekran
コンピューター操作記録のエントリーシステム。 低価格でありながら操作画面の記録に必要な機能を実装しています。シンプルでコスト重視の方に。
PCI DSS準拠サポート
特権アクセス管理(PAM)
Safeguard for Privileged Sessions
特権アカウントおよび特権アクセスを安全に保存、管理、記録、分析するPAM(特権アクセス管理)ソリューション。
PCI DSS準拠サポート, アプライアンス
特権パスワード管理
Safeguard for Privileged Passwords
特権ユーザーのパスワードをすべて管理し、権限によって変更や中止等、詳細にパスワードを制御。 サーバーやネットワーク機器などの資産にアクセスするためのアカウントパスワードを管理、変更、リリース。
参考資料
- 2015 Vormetric insider threat report
- Ponemon 2015 cost of cyber crime global study
- Insider Threats Spotlight Report
- Clearswift Insider Threat Index (CITI)
- Combating the insider threat
- IPA 組織内部者の不正行為によるインシデント調査報告書(2012年7月)