企業にとって、機密情報の管理は大きな問題です。もしサイバー攻撃によって、機密情報が流出・改ざんされてしまった場合、ビジネスに大きな支障をきたすことになります。そのため、サイバー攻撃に対抗するため、セキュリティレベルの高い対策を施している企業は多いでしょう。
しかし、いくら外部からのセキュリティを高めたとしても、社内の人間による不正行為は防げません。防御が手薄な内部から忍び込めば、いとも簡単に不正ができてしまいます。
社外からの攻撃ではなく、社内の人間による不正行為を防ぐためには、どのようにすれば良いのでしょうか? サイバーディフェンス研究所の専務理事・上級分析官の名和利男氏が解説します。
内部不正を防ぐガイドラインには何が書かれているのか
国内外問わず、内部者の不正行為による企業の情報資産(顧客情報、知的財産、金融取引等)の外部流出や、社内情報の改ざん・破壊などにより事業継続を困難にさせる事案が、相次いで発生している。
このような状況を受け、さまざまなセキュリティ専門組織が、内部不正対策に関するガイドラインなどを出している。国内では、経産省所管の独立行政法人情報推進機構(IPA)が、内部不正の防止に係る知見を体系化した「組織における内部不正防止ガイドライン」を公表している。
日本だけでなく、諸外国においても、このような内部不正防止のためのガイドラインは用意されており、おおむね次のような最善策が提供されている。
1. 組織全体の定期的なリスク評価を実施(重要資産を特定し、内部者と外部者の両方から保護するためのリスク管理戦略を定義)
2. 全従業員向けに定期的なセキュリティ意識向上トレーニングを実施(セキュリティポリシーとプロシージャの存在及びその根拠、実行すべき背景と理由、違反に対する懲罰の可能性を理解)
3. 職務分離と最小特権を強制(職務の合理的な分離と仕事に必要なリソースの認識)
4. 厳格なパスワードおよびアカウント管理のポリシーとプラクティスを実装(内部のコンピュータのアカウント乗っ取りを想定)
5. 従業員のオンラインアクションを記録、監視、監査(ログの記録と定期監査による内部不正の挙動の早期発見と調査可能な態勢を確保)
6. システム管理者と特権ユーザーに対する警戒(ロギングとモニタリングは、システム管理者と特権ユーザーの組み合わせで実行されている状況)
7. 悪意のあるコードからの積極的防御(システム管理者または特権ユーザーは、論理爆弾や悪意のあるコードのインストールが可能、かつ多くの場合ステルスであるために事前の検出は困難)
8. リモート攻撃に対する多層防御の実装(現場周辺で警戒されていない場合、内部者は自信を持ち抑制されにくいと感じる傾向)
9. 疑わしい動作の監視及び対処(内部者の疑わしい動作が察知されたことを適切に担当部門へ報告させるポリシーとプロシージャを確立し、経営陣が適切なフォローを実施)
10. 不使用アカウントのアクセスを無効化(離職や役職変更後、コンピュータリソースへのアクセスポイントをすべて無効にする厳格な手順を確立)
11. 調査で使用するデータを収集して保存(内部不正の発生後の証拠保全を確立)
12. 安全なバックアップおよび復旧プロセスを実装(定期的なテストを伴うバックアップ、及びリカバリプロセスの実装)
13. 内部不正の対処プロセスを明確に文書化(組織が行う内部不正の事象への対処行動を事前に文書化することで、従業員及び外部に対する説明責任を実現)
いずれの項目も的を得たものであり、これらを全て徹底できれば、内部の人間の多くを防ぐことが期待できる。