内部不正による情報流出に備える | |
---|---|
作成日時 22/04/25 (09:42) | View 5184 |
内部不正による情報流出に備える
~ルール不履行はもちろん不注意も~
セキュリティ部門における積年の課題
2022年4月、IPA(情報処理推進機構)から「組織における内部不正防止ガイドライン」(第5版)が発行されました。初版は2013年3月ですから、内部からの情報の流出は、10年近く企業のセキュリティ部門の課題であり続けていることがわかります。
IPAが毎年発表している「情報セキュリティ10大脅威」の2022年版でも、「内部不正による情報漏えい」は組織部門の5位。ここ数年、2位~8位を行き来し「10大脅威」の圏内を外れない状況は、対策の難しさを反映していると言えるでしょう。
「組織における内部不正防止ガイドライン」 出典:IPA
この脅威の特徴は、以下の点に集約できます。
・1件あたりの被害の度合いが大きい
・確立されたセキュリティ技術・手法の適用が難しい
・公開されない事案が多い
まず1件あたりの被害の大きさですが、内部不正の多くは、データの売買や企業に対する不満から被害を与えることが目的のため、その組織にとっての重要情報を知る人物が機密情報を大量に搾取します。正規のアクセス件を持つ従業員の行動は検知が難しく、長期間被害に気付かないケースも少なくありません。
もう一つは、対策の難しさです。被害額の大きさとも関連しますが、企業システムの仕様と稼動状況を知る者による内部不正に対しては、企業ネットワークへの侵入を防止するファイアウォールや、アンチウイルスのような汎用的な技術・手法の適用が難しく、システム上での対応に限界があります。
被害を受けた企業では、風評被害を恐れる、訴訟が起きた際の影響などの理由から、非公開に伏すケースも少なくありません。著名企業からの大量の個人情報の流出や、漏えいによる実害が複数の組織に及ぶような事案以外は、あまり表には出ないと思っていいでしょう。
リスクは“犯行”だけではない
IPAの「内部不正防止ガイドライン」と「情報セキュリティ10大脅威」は、組織の内部に偏在する悪意とそれに近い要因にフォーカスしたものですが、企業にとって情報が流出するリスクは、悪意だけではありません。
セキュリティ分野の業界団体や調査機関から、“情報漏えいの原因”に関する報告がときどき発表されますが、これらを総合すると、半数程度は管理ミスと見られます。具体的には、メールの誤配信、システムの誤操作、クラウドサービスの設定ミス、PCや外部記憶装置の紛失・盗難などによる情報の流出です。
このような管理ミス以外に、ルールの不履行も軽視はできません。PCやUSBメモリなどの紛失事故は、もともと持ち出しが禁止されている会社所有のPCとデータを、自宅で仕事を継続するために持ち帰ったケースが度々報告されています。
内部情報を持ち出す主な手段
出典:「組織における内部不正防止ガイドライン」 (IPA)
社外から企業のシステムにアクセスする際は、VPN(仮想的な専用回線)などの安全な通信手段を使う決まりがあるはずです。しかし、朝夕などの混雑時はVPNにつながりにくい、反応が遅いなどの理由から、駅などに設置された無料のWi-Fiを経由し、社内のサーバーやクラウドサービスに直接つないでしまうケースも多々あるようです。
このようなルールの不履行は、情報流出のリスクを高めることは言うまでもありません。
攻撃の巧妙化とテレワークがリスクを増長
金銭目的や企業への反感などの明確な悪意と、メールの誤送信に代表される不注意、そして社内ルールの不履行・不徹底。もう一つ、企業に内在するリスクを付け加えるとしたら、サイバー攻撃の手口がますます巧妙・悪質化している点が挙げられます。
例えば、今のところ海外に多い事例ですが、攻撃者が標的にした企業の関係者に、LinkedInなどのビジネス系SNSで巧みに近づいて警戒心を解いた後、ダークWebという闇サイトで高値が付く情報の売買を持ちかけるケースも散見されます。
最近は“分業化”が進むランサムウェアで、従業員を実行犯に仕立て上げる戦術も報告されています。ランサムウェアは、攻撃に必要なツール類は主犯グループが用意し、データの搾取と暗号化など現場の作業は実行犯が担うやり方が増えています。高額の報酬を餌に社員や元社員を実行犯として誘う手口です。内情を知る関係者を巻き込んでしまえば、犯罪の成功率は格段に高まるでしょう。
このようなリスクの増大につながっているのが、テレワークの拡がりです。テレワーク環境では、システム部門が管理する情報機器の利用状況の可視性が低下します。従業員も心理的な変化が生じ、基本的なルールを忘れがちになることは否めないでしょう。テレワークに特化したセキュリティ教育が求められますが、特に短期間での環境整備を余儀なくされた組織では、追いついていないのが実情のようです。
まずは管理の見直しによる予防を
内部からの情報流出を防ぐ対策は、その要因、不正行為かルールの不履行か、不注意かによって、手法の細部は異なる部分もありますが、共通する土台は“管理方法の見直しによる予防”です。
「内部不正防止ガイドライン」(IPA)では、管理のあり方として、予防から事後対策に至るまでの段階を、基本方針、資産管理、物理的管理、技術・運用管理、コンプライアンスなど、10の視点からまとめています。これらのフェーズにおいて、基本方針は基礎工事に相当する部分で、明確な方針に基づく予防が明暗を分けることになります。
基本方針の策定では、経営層が主導するチームで、内部不正対策に当たる組織の体制づくりと、役割と責任の明確化などの作業を行います。当然ですが、基本方針を固めるプロセスでは、重要情報の定義付け(資産管理)や、情報の扱い方(技術・運用管理)などの内容を加味することになります。
内部不正対策の体制作りの概要
出典:「組織における内部不正防止ガイドライン」 (IPA)
やや抽象的な話になってしまいますが、「ガイドライン」の付録に、“基本方針の記述例”、管理体制を点検する“内部不正簡易チェックシート”、“テレワークに係わる対策一覧”など、実践的な情報・ヒントもありますので、参考になると思います。
内部不正簡易チェックシートの一部
出典:「「組織における内部不正防止ガイドライン」(IPA)
なお、前述した通り「ガイドライン」は、悪意から情報を搾取する行為の防止に主眼を置いたものですが、基本方針の策定と重要情報の定義付け、物理的管理、運用管理の方法など、ここで示される手法の多くは、ルールの不履行と不注意による情報流出に対しても有効なものです。
実践段階ではシステムの総点検を
基本方針の策定後は実践段階、システムの点検と整備です。
ここでもっとも基本的かつ重要な要素はIDの管理。基本方針で定義した重要な情報資産のリストに基づき、それぞれの管理者を設定します。引き続き個々のIDの権限とアクセスできる範囲を明確にした上で、IDの登録・更新・削除のルールが明文化されているかを点検してください。
注意すべきは退職者のID管理です。経済産業省の「人材を通じた技術流出に関する調査報告」によると、営業上の機密が他社へ漏えいした原因は、中途退職者からが50.3%で、現職従業員等のミス 26.9%の倍近くに達していました。IPAが実施した「企業における営業秘密管理に関する実態調査 2020」でも、中途退職者による漏えいが最多の36.3%、現職従業員等の誤操作・誤認は21.2%、現職従業員等によるルール不徹底が19.5%という結果が出ています。
在職中から搾取を企てた行動に対する制御には限界があったとしても、退職後もIDの抹消が完了せず、業務メールの受信やサーバー上のファイルの遠隔操作ができたといった事案は、何度となく報告されています。退職者のアカウントは即時停止する、同時に有効なIDが放置されたままになっていないか、定期的な点検が欠かせません。
内部から情報が流出した主な原因
出典:「企業における営業秘密管理に関する実態調査 2020」(IPA)
モニタリングと可視性の強化を
内部から情報が流出する事件・事故は、正規のアカウントを使った正規の行動の範囲で行われるため、外部からのサイバー攻撃への対策とは異質の戦略と意識、そしてツールが必要です。ポイントはモニタリングと可視性の強化。例えば、対策の一例として、送信先アドレスのチェックや、送信を一時保留して管理者の承認を求める上長承認などの機能を持つメールセキュリティツールの利用も有効です。
情報の流出を防ぐには、社内システムの状況をリアルタイムで監視・可視化する機能も欠かせません。例えば、ファイルの変更やルールとの不適合を監視する変更監視ツール、あるいはPCやサーバーなどの動作をモニターし、異常の兆候を検出する“ふるまい検知”や“状況認識”などと呼ばれる機能を持つセキュリティツールも少しずつ拡がってきました。
メールの誤送信、ルールを逸脱したデータの複写など、重大な過失と不正の防止に対しては、メールセキュリティや変更監視ツールなどが有効ですが、このようなシステムが常時稼動している状況を告知することで、悪意から情報の搾取を企てる者に対する抑止効果が期待できます。
“ゼロトラスト”の活用も拡がる
情報セキュリティの新しい手法として、ゼロトラストネットワークへの注目度が高まっています。ゼロトラストとは、文字通り“信用はゼロ”。従来からのセキュリティ対策は、インターネットと社内ネットワークの境界に、ファイアウォール(FW)などを設置して、FWの内側を守る“境界防御”という手法が使われてきました。
クラウドサービスの利用とテレワークが一般化した現在は、守るべき対象はネットワークの内側だけではありません。境界という概念が希薄になった現在の業務環境では、従業員が使う情報機器1台1台に着目する手法が効果的です。ゼロトラストネットワークの稼動環境では、例えばPCから他の機器にアクセスする際は毎回ユーザー認証を課し、外部との通信時はすべてのログを記録するなどの方法で安全を担保します。
ゼロトラストネットワークの運用イメージ 出典:ananda
ゼロトラストネットワークは、内部からの情報漏えいの防止に特化した技術ではありませんが、不正とルールの不徹底、不注意による流出に対しても、有効に機能するソリューションです。この機会にゼロトラストネットワークのような新しい対策方法を検討してみてはいかがでしょうか。
情報流出の防止に向けた実践段階では、それぞれの企業ネットワークの形態、業務で多用する情報システムとサービス、そして人員の構成・配置によって、適合するツールと技術は異なります。ここで示した「内部不正防止ガイドライン」などの指南書、ID管理などの基本的な施策、そしていくつかのソリューションを参考に、皆さまの企業システムに合ったアプローチで対策を進めてください。