• 株式会社ビジョンクリエイト

vol.91-内部不正による情報漏洩への対策

 内部不正

なぜ内部不正による情報漏洩への対策が重要か

 外部からの攻撃への対策に比べて、「内部不正」への対策はとても困難である。 それは、組織やシステム内の規程・仕組み、対策方法などを知っている人物が実施するからである。

2014年に起こった教育事業者の大規模な顧客情報漏洩事件のように、「内部不正」を行う人物がいくつもの 特権的アクセス権を持つシステム管理者だった場合、そして、その人物が一定以上のシステムおよび セキュリティ技術を持つ者だった場合、その「内部不正」への対策は非常に難しい。

 極端な例をあげると、もしその組織のCIO(チーフ・インフォメーション・オフィサー=情報統括役員もしくは情報システム部門の責任者)のように、 特権的アクセス権を持つ人物による「内部不正」というシーンでの対策を考えてみると、難易度の高さや深刻さがより鮮明になってくる。

 「内部不正」のもう一つやっかいなポイントは、外部からの攻撃よりも被害が甚大になることだ。 なぜなら、内部事情に詳しい人物が情報の利用法のほか、重要情報の”裏付け”・”意味合い”や”活用ノウハウ”などと共に 持ち出すケースが多いからだ。そして、「内部不正」を犯してまで外部に持ち出す情報は、たいてい”軍事機密”や”特許技術”といった とても価値ある”機密情報”なのである。

 外部からの攻撃によって漏洩した情報は、その情報が本当に攻撃者側の望む正しい情報なのかの判別がつきにくい。 たとえば、企画・研究途上で開発・検証されている情報なのか、あるいは検証が十分ではなく不確定な情報なのかは、 外部の攻撃者には分かりにくい。

そもそも、その情報自体が偽物で、全くでたらめである可能性すらある。 外部からの攻撃で手に入れた情報は信憑性あるものとないものが混在しており、内容を精査・検証しなければならい。 それに対して「内部不正」で漏洩した情報の場合は、それらの”有用性・有効性”を推定・判断できる材料も付与される。

 このように「内部不正」による情報漏洩は、その情報を欲している者に使いでがある都合の良い要素が多く含まれ、 その結果、漏洩してしまった企業や組織からすると被害が甚大になる可能性が高いのである。

なお、「内部不正」にはシステム破壊や悪用などさまざまな種類がある。しかしここでは、今後の日本国内のセキュリティ対策や 「内部不正」対策の転換点となった象徴的で大規模な事件を踏まえ、そこに焦点を当てた「内部不正」による情報漏洩に着眼してみる。

ではどんな対策が望まれるか

 外部からの攻撃を想定した従来のセキュリティ対策は、危険な外部と安全な内部の境界線から、 内部に一歩も入れさせないという境界防御思想による対策だった。しかし、既に内部に入っている人物による「内部不正」の対策にはならない。 安全なはずの内部に攻撃者がいるのだから、対策のほとんどは無効化されてしまう。

だが、巧妙な外部からの攻撃手法に対応して進化した最新のセキュリティ対策であれば、事前調査と準備期間を費やして 内部に入った攻撃者と「内部不正」を行う関係者への対策の方向性が一致する。 内部から外部に情報漏洩してしまうことを防ぐ対策になるからだ。

 内部から外部への情報を持ち出せないようにするためのセキュリティ対策は、「出口対策」と呼ばれている。 これは現在のセキュリティ製品の一つの分野にもなっており、この対策が有効に機能する可能性は十分ある。

しかし、外部からの攻撃者や不正ソフトと「内部不正」では、対策において決定的に異なる点に着目する必要がある。 それは、「内部不正」を行う人物はたいてい正規の業務に沿って目的の情報にたどり着き、外に持ち出せることだ。

つまり、「内部不正」の対策は業務に即していることが前提となる。「内部不正」は正規のプロセス上で実行されるため、 不正なネットワーク通信や不正アクセスなどをいくら監視していても意味がないのだ。 これが、外部からの攻撃と「内部不正」の大きな違いである。当然、「内部不正」の方が、より対策が困難なことは言うまでもない。

 現在のセキュリティ製品のほとんどは、外部からの攻撃を防ぐために作られたものだ。 しかし従来の、外部と内部の境界防御のセキュリティ製品単体では、どんどん効果が薄くなっているのが現状だ。 次世代ファイアウォールやサンドボックスなど最新のセキュリティ製品であっても、製品単体ではその状況はそれほど変わらない。

それらが十分に機能し有効性を発揮するためには、個々の製品を監視し管理する仕組みが必須である。 サーバやネットワーク機器、セキュリティ製品がそれぞれセンサーのような役割を持つことで、APT攻撃のような高度な攻撃にも 対応できる堅い防御構造の構築も可能となる。

「内部不正」への対策に関してはさらに難易度が高く、非常に困難である。 「内部不正」を行うのは、たいてい業務に即して重要な情報に手が届く人物だからだ。 だが、それが実行できる立場にいないのでは、社内にいてもなかなか欲しい情報にたどり着かない可能性が高い。

そのため、「内部不正」をするのは正規の業務に即して必要な情報にたどり着けるか、何らかの業務的な理由をつけて そこへ依頼や指示ができる人物だ。つまり、外部からの攻撃と異なり、「内部不正」が実行される場合は正規の業務フローに 即して情報が取得される。

そのため、「内部不正」の対策は、業務に即してあらかじめ重要な情報を手に入れるための ワークフローなどを整備し、システムに集約する仕組みを作ることが重要である。 こうすれば、ログなどでいつ誰がどの情報にアクセスしたのか、ダウンロードなどで他の場所に持ち出したかといった 状況を把握できるからだ。 その上で、不正とおぼしきインシデントが起こった場合にアラートが出る仕組みも必要だ。

アラートが出た際には、倫理委員会のような形態で議論をして対策を検討する。 このような組織体制と仕組みを整備し、運用ルールを決めることが「内部不正」の有効な対策となる。 対策のポイントは、事前にログなどの必要な情報を収集し、的確なタイミングでアラートを出す仕組みを うまく構築することなのである。

 「内部不正」を防ぐという非常に困難な課題に対しては、単体のセキュリティ製品を対処療法的に 導入したからといって、その効果はほとんどない。 しかし、セキュリティ製品の有効な機能を組み合わせてそれらが保たれていることを管理したり、 アクセスログ・監視ログなどの情報を収集してアラートを出す仕組みとそれを議論・検討する体制や組織を 組み合わせたりすることによって、有効な対策となる。

セキュリティ製品は、「内部不正」対策の部品の一つになり得るという意味では有効であり必須でもあるが、 それらの機能をつなげる仕組みと組織・体制を含めた整備をすることによって、 初めて必要十分な「内部不正」の防御が具体化できるのである。

ビジョンマガジンを最後までお読みいただきありがとうございました。これからも、皆様に有益な情報を発信していきますので、今後とも宜しくお願いいたします!