1. ホーム >
  2. FUJITSU PCセキュリティラボ >
  3. 内部不正による情報漏えい事件がもたらした教訓

FUJITSU PC Security Lab.

富士通がお勧めする Windows.

内部不正による情報漏えい事件がもたらした教訓
〜企業が取り組むべき「セキュリティ対策の棚卸し」を考える〜

記事の要約

  • 懸念される、公表されない情報漏えいの増加。内部不正の監視体制と、アクセス制御を徹底する仕組みが未整備の日本企業。アクセス権の“乱発”が内部不正の引き金に。
  • 内部不正防止対策で重要なのは、「悪事は必ず露呈する」仕組みの構築であり、大半の不正アクセスは防止可能。
  • 使い回しなど、操作者の特定に限界があるID/パスワード認証。情報漏えいによる経営リスクとの見合いで判断すべき、手のひら静脈認証など強固な認証システムへの投資。

全文を読む

2015年は、社内セキュリティをゼロから考え直す年ではないか。多くの企業は今、内部犯行による情報漏えい対策の見直しを迫られている。そこで今回、デロイト トーマツ リスクサービス代表取締役社長丸山満彦氏に内部犯行が引き起こす大規模情報漏えいの傾向と、効果的な防御策について聞いた。

ゲスト:デロイト トーマツ リスクサービス 代表取締役社長 丸山満彦 氏
聞き手:ZDNet編集長 怒賀新也

怒賀2014年は大規模な個人情報流出や、特定企業に対する標的型攻撃の増加など、数多くのセキュリティ事件が報道されました。「2014年のセキュリティ10大ニュース」の第1位として、日本ネットワークセキュリティ協会は「大手教育系企業の顧客情報漏えい事件」を挙げています。まずはこうした状況を、どのように見ていますか?

デロイト トーマツ リスクサービス 代表取締役社長 丸山満彦 氏

デロイト トーマツ リスクサービス 代表取締役社長 丸山満彦 氏

丸山確かにこの企業は流出件数が大規模で、衝撃的なニュースとして社会的にも注目も浴びました。しかしこの企業に限らず、企業のITシステムの運用現場を見ていると、いつ内部不正が起こってもおかしくない状況は今に始まった話ではなく、昔から変わっていないと思います。むしろ、公表されない/報じられない"水面下の情報漏えい"が、いま相当数に増加しているのではないか、という懸念を強く感じています。

確かに経済産業省のガイドライン(※)では「二次被害の防止、類似事案の発生回避等の観点から、個人データの漏えい等の事案が発生した場合は、可能な限り事実関係、再発防止策等を公表することが重要である。」としています(※※)。しかし全ての企業が、必ずしもこの企業のように遵守しているわけではなく、コンプライアンス意識が低い企業ほど漏えいをしているにもかかわらず公表もしていないのではないか。

※経済産業省「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」
※※上記ガイドライン30ページ

怒賀内部不正に対して、いまだ十分なセキュリティ対策が講じられていないと。

丸山多くの企業では、内部不正を監視する組織体制と、アクセス制御を徹底する仕組みが構築されていないと思います。例えば、大きなシステム構築や運用のプロジェクトでは、委託先のSEやその先の再委託先の派遣SE、スタッフなど、5次・6次受けにまで委託されているケースもあり、"親元"の企業はどんな人材が働いているのか、どの情報に、だれがアクセスしているのかを厳密に把握できていないのではないでしょうか。私は米国のデトロイト事務所で現地企業のシステム監査を実施していました。その経験から言うと、日本企業は米国企業と比較し、アクセス制御を徹底していないと感じています。

その理由の1つは、スタッフの「業務」に対するかかわり方の違いです。米国企業が人を雇う場合、仕事内容を明確にし、そのスキルを持った人材を雇用します。例えば、営業職で採用された人が、経理やマーケティングに異動することはほとんどありません。一方、日本企業は属人的に業務を行う傾向が強い。米国はその「職務権限」に対してアクセス権を与えますが、日本は「人物」に対してアクセス権を与えてしまう。その結果、日本は職務権限が曖昧になり、内部不正が起こりやすい環境になってしまうのです。

こうした問題を防止するには、業務内容を定義し、アクセス権を明確化すること。必要な人が、必要な情報だけにアクセスできる「Need to Know」の環境を構築することです。残念ながら日本企業の多くは、アクセス権が“乱発”されているケースが多いと思います。

ZDNet編集長 怒賀新也

ZDNet編集長 怒賀新也

怒賀セキュリティ対策は費用対効果が見えにくいと言われていますが、一度情報漏えいが発生すると、その対策費用は莫大です。先の大手教育系企業の事件では、対応にかかる費用総額は200億円超とも言われています。企業はセキュリティ・インシデントによるリスクを軽視しているように感じます。

丸山一般的にはそう思います。多額の賠償金を支払うのであれば、会社全体を包括的に防御する堅牢なセキュリティ・システムを構築できます。よく指摘されていることですが、日本は米国と比較しセキュリティに対する投資額が少なく、対策も継ぎ接ぎだらけで穴があります。その最大の理由は、社内システム全体を俯瞰し、部門の枠を超えてセキュリティ・イニシアチブを発揮できるCISO(Chief Information Security Officer)/CSO(Chief Security Officer)がいないからです。

例えば、システムの運用管理はIT部門が担当しますが、部署単位で利用しているWebアプリや業務アプリの脆弱性対応は、各部署が独自に実施しているケースも少なくありません。特に海外支店や子会社のセキュリティ対策は、現地任せであることが多いです。

また、BYOD(Bring Your Own Device)を認めていても、デバイス管理をおろそかにしている企業も見受けられます。「誰が」「どのデバイス」から「どんなデータ」にアクセスし、「そのデータをどうした」まで把握できなければ、「アクセス制御でデータ管理を徹底している」とは言えないのです。

ZDNet編集長 怒賀新也

怒賀内部不正を防止し、堅牢なセキュリティを実現するためには、どのような手段が有用でしょう。

丸山内部不正防止対策で重要なのは、「悪事は必ず露呈する」という仕組みを構築することです。アクセス制御を徹底すれば、権限のない利用者は情報にアクセスできないのですから、ほとんどの不正アクセスは防止できます。

残る10%は、権限を持った人物による不正アクセスです。これを防止するには、統合ログ解析やセキュリティ・オペレーション・センター(SOC)を設置し、アクセス権のある人物であっても通常とは異なる操作をしたり大量のデータを移動させたりした場合にアラートを出す仕組みを構築することです。これは、誤操作を防止すると同時に、システム側ですべての操作を監視していることを知らせる手段でもあるのです。

怒賀「あなたがどんな操作をしているのかをシステムは把握していますよ」と伝え、不正行為の抑止力とするわけですね。もう1つの課題は、アクセスしている人物が「本当に権限のある人物が操作しているのか」を確認することです。現在、企業で幅広く利用されているID/パスワード認証は、操作者の特定に限界があると言われています。この点についてはいかがでしょうか。

丸山ID/パスワードについては運用側にも問題があります。よく指摘されていることですが、「パスワードの使い回し」は危険です。また、IDカードも部署内で共有するなど、運用面での課題が指摘されています。こうした課題を解決するためには、複数の認証方式を組み合わせることです。

現在の認証方式として「パスワードなどによる記憶認証」「IDカードなどの持ち物による認証」、そして「静脈や虹彩、指紋などによる生体認証」が挙げられます。それらを組み合わせることは、セキュリティ強度の向上おいて有効な手段です。

怒賀生体認証は、「本当に権限のある人物なのか」を特定する手段として強いですね。ただ、比較的普及している体表情報による認証の場合だと対応率が100%ではない。

丸山だから結局、せっかくPCのログインにその生体認証を採用しても、認証が通らない社員への対応策として、NGだった場合はIDとパスワードでログインできる個別対応を追加したりする。セキュリティを強固にするための「生体認証"and"パスワード」ならいいですが、それが「生体認証"or"パスワード」になる。基準がandでなくorになれば、もちろんセキュリティ強度は低い方のレベルまで低下します。

怒賀静脈認証なら体内情報を利用しているので、認証精度が高く、対応率が高いと言われています。しかし従来の製品は高コストなものばかりで、特定用途を除いてあまり普及していません。ここにきて、ようやく現実的なコスト感になってきた、というところです。

デロイト トーマツ リスクサービス 代表取締役社長 丸山満彦 氏

丸山例えば"重要な情報にアクセスする端末を使い分ける"ことは、セキュリティの観点から非常に有用で、その端末のログイン認証に静脈認証を導入するということも効果的でしょう。

「漏れては困る情報を扱う作業は、檻の中でやる」という発想で、こうした端末は、インターネットに接続せず、外部記憶媒体へのデータコピーもできなくするわけです。

とはいえ、多少のコストを払っても、それに見合うメリットがあるのなら静脈認証システムを導入すればいい。

例えば自治体のように公的な個人情報にアクセスできる端末には強固なセキュリティが必要なのは言うまでもありません。同様に、金融機関でも取引データにアクセスできるような端末には、「万が一情報が漏えいした場合」の経営リスクを考慮し、コスト高になったとしても強固なログイン認証を導入するほうが、得られるメリットは大きいと思います。

怒賀最後に、今後3年以内で発生しうるセキュリティ・インシデントはどのようなものがあると予測しますか。

丸山今後はモノのインターネット(Internet of Things:IoT)の普及に伴い、IoTを狙った攻撃が台頭するでしょう。すべてのモノがインターネットに接続されることは、攻撃対象となるデバイスが増加することです。つまり企業は守るべきモノを多く抱えることになる。

攻撃者は、多種多様なデバイスで脆弱性のある一点を突破すればよいのですから、攻撃者のほうが有利です。一方、守る側の企業は、誰が、どこを突いてくるのか分からない。攻撃者の情報収集にも苦労するはずです。こうした状況で少しでもリスクを軽減したければ、すべての端末について、ログイン認証のありかたを再考する機運は確実に高まるはずです。

怒賀ありがとうございました。

富士通パートナー及び当社担当営業とお取引があるお客様は直接担当者へお問い合わせ
ください。
電話でもご注文・ご相談を承りますので、右記窓口までご連絡ください。

富士通購入相談窓口

0120-996-186受付時間 9時〜19時

Intel Inside® 飛躍的な生産性を

  • インテル® Core™ i7 vPro™ プロセッサー
  • インテル® Core™ i5 vPro™ プロセッサー
  • インテル® Atom™ プロセッサー

Intel、インテル、Intel ロゴ、Intel Inside、Intel Inside ロゴ、Intel Atom、Intel Atom Inside、Intel Core、Core Inside、Intel vPro、vPro Inside、Celeron、Celeron Inside、
Itanium、Itanium Inside、Pentium、Pentium Inside、Xeon、Xeon Phi、Xeon Inside、Ultrabook は、アメリカ合衆国および/またはその他の国における Intel Corporation の商標です。