講演レポート:第11回 潜む脅威、情報セキュリティ戦略のこれから ~被害が甚大化する内部不正への対策~||Prowise Business Forum in Nagoya|システム構築やトータルソリューションをお探しなら、日立ソリューションズをご利用ください。

株式会社 日立ソリューションズ

Prowise Business Forum in Nagoya 第11回

潜む脅威、情報セキュリティ戦略のこれから
~被害が甚大化する内部不正への対策~

 日々のニュースの中で、情報セキュリティ事故を伝えるものが多く見受けられます。犯行の手口は日々進化し、その被害は甚大化しています。セキュリティ対策は守るべき資産を定義し、脅威を理解しなければ効果がないことは言うまでもありません。企業は一過性ではなく、不断のセキュリティ対策に取り組むことが求められます。本フォーラムでは今起こっているセキュリティの課題を整理し、企業が取るべき対策を提案いたしました。

 基調講演に慶應義塾大学 環境情報学部 教授 武田圭史氏をお招きし、企業がとるべき内部不正への対策について事例とともにご講演いただきました。日立ソリューションズからは、内部不正によるリスクや情報資産の管理方法を整理し、セキュリティ対策のポイントをご紹介いたしました。

開催概要

日時 2015年2月26日(木) 14:00~16:30 (13:30 受付開始)
会場 名古屋ルーセントタワー 16階
〒451-6016 愛知県名古屋市西区牛島町6-1
主催 株式会社日立ソリューションズ

【基調講演】
事例から考える内部犯行対策のあり方


慶應義塾大学 環境情報学部
教授 武田 圭史 氏

【武田 圭史 氏 プロフィール】

慶應義塾大学大学院政策・メディア研究科後期博士課程修了。防衛庁・航空自衛隊およびアクセンチュア株式会社勤務の後、カーネギーメロン大学客員教員同日本校教授を経て現在、慶應義塾大学環境情報学部教授。兵庫県参与など官公庁における情報セキュリティ関連委員等就任。情報セキュリティ分野における研究開発・運用・人材育成・コンサルティング等幅広い業務に従事。

 基調講演では、情報セキュリティ分野における研究開発や人材育成の専門家である武田氏が、内部犯行の実態や犯行事例などを交えて、これからの内部犯行対策やセキュリティ全般について考え方のヒントを披露した。

不正競争防止法で逮捕される人が今後も増加する可能性

 この2~3年の間に、内部関係者による営業秘密の漏えいが大きな問題となっており、犯罪として処理されることで当事者が逮捕されるケースが増えている。自動車メーカーや家電量販店などで、退職する社員が退職直前や退職後に大量の情報を窃取しているケースがマスメディアなどでいくつも報じられている。

 こうしたことは、実は昔からよくあることだったという武田氏は、「社内の人事異動の際に旧部署の資料などを新部署で参考にするために持ち出す例や、PCに残っていた情報をそのまま新部署の業務で利用する例などは、ある意味で黙認されていた」と話す。違う企業に転職し同様のことを行った場合には、犯罪として逮捕される可能性もあるという。また、組織としてもそうした行為から重要情報を守る仕組みを講じなければならなくなっている。

 経済産業省がまとめた営業機密の保護についての調査では、企業の情報漏えいが起こる最も多い理由として、社員が中途退職などの場合に不正に情報を持ち出す例が大半だったという。盗んだ情報を手土産として競合企業に転職してしまうのだ。

 不正競争防止法では、不正な手段によって営業秘密を取得する行為は民事ではなく刑事事案として裁かれるようになった。2014年以降、規定が明確化されたことで逮捕される人が増え、そして今後はさらに増えるだろうと武田氏は見ている。

 近年、大きな事件となった教育関連企業における個人情報漏えい事件では、トータルで7,000万件ほどのデータが内部犯行関係者によって不正に持ち出され、名簿業者に売却されていたことが発覚した。

 武田氏は、「この事件では通常あまり流通していないと考えられる子供の情報が競合企業に流通したことで発覚した」と説明する。通常は企業等の内部情報を持ち出しても、一般の人はそれを金銭に換えることは難しいケースが多いが、個人情報の場合は名簿業者に販売することができ比較的ハードルが低いためターゲットとなりやすい。

営業秘密として管理していること明示し同時にアクセス制御も実行

 では、その教育関連企業は事故発生当時に内部情報漏えい対策を行っていなかったのだろうか。答えはノーだ。その企業は、入退出管理と監視カメラによる運用、PCのワイヤーロックによる持ち出し制御、ユーザーごとの認証ID/パスワードの設定と定期的な更新、システム管理部門でのPC一括管理、USBメモリによるデータ入出力制限、オペレーターの操作ログ記録とデータベースへの操作監視、ネットアクセスのURLフィルタリングによる外部サービスへの利用制限、定期的な情報セキュリティや個人情報保護に関する研修、といった対策を行っていたという。

「これぐらいやっていれば十分対策をしている優良企業だと評価されるだろう」と武田氏も感心するのだが、このケースでは、システム開発運用を外部委託する業者が個人情報を抽出し、USBケーブルを使って自身のスマートフォンに転送した。当然USBメモリは使用制限されていたが、USBにつないだスマートフォンは制限の対象と異なる形で認識され情報を持ち出すことが可能であった。このことに偶然気づいた業者が犯行に及んだのだった。

 武田氏は「これもひとつの脆弱性として抜け穴となった」と分析する。データベースに対して大量のデータを抽出する操作があるとアラートが出る仕組みもあったが、なぜかその業者は監視対象になっていなかった。「設定上の不備か業務上必要な措置だったのかは不明だが、監視系のシステムの場合、頻繁にアラートが発すると次第に慣れてしまい、監視対象から外してしまうことも多い」という武田氏は、そのリスクも認識すべきだったと話す。

 その他にも、必要以上のアクセス権限の付与や、個人情報へのアクセス制限を考慮したデータベース設計ではなかったこと、継続的・定期的なモニタリング体制の不足、記憶可能媒体の持ち込み管理の不備、複数人による相互監視抑制環境の不足などを武田氏は指摘する。

 この事件は裁判が始まっており、被告の弁護側は「流出情報は営業秘密としての要件が認められない」と無罪を主張しているという。会社側が営業秘密だと認識していても、それを適切に管理していなかった場合は営業秘密として認められない可能性もある。

 法律上の営業秘密の定義とは、「秘密として管理されている生産方法、販売方法、その他の事業活動に有用な技術上または営業上の情報であり公然と知られていないもの」としている。したがって、情報にアクセスした者にそれが秘密であると認識できる客観性を持たせるために、これは営業秘密に相当するものとして管理していると明示し、同時に十分なアクセス制御を行ったほうがいいと武田氏はアドバイスする。「情報を自由に使って生産性を上げることとのバランスが重要であるが、秘密の管理の状態がなし崩し的に緩くなっていないか、注意が必要だ」

BYODとクラウドサービスを業務で利用する上でのリスク

 一方、スマートフォンは情報の宝庫だ。スマートフォンを使ったBYOD(Bring Your Own Device;個人所有端末の職務利用)などが盛んだが、PCとスマートフォン間でデータのやり取りを行うには外部クラウドサービスを使うことが少なくない。この過程でクラウド側に会社のデータが蓄積されていく。社員が退職してもクラウド側に残ったデータは回収されずに残ってしまうリスクが今後問題になるという。

 武田氏は、「こうしたクラウドが使われることを前提に業務設計し、便利かつ安全に利用できるプロセスを考えることも重要だ」と注意を促す。また、通信の暗号化は行うものの、コンテンツレベルでの暗号化はあまり行われていないことにも懸念する。メールに暗号化されたファイルを添付して送信した後に、ID/パスワードを別メールで送ることも行われているが、これもセキュリティ上は不適切な習慣だ。同じ通信経路を傍受されれば暗号化されたデータとそれを解読するためのパスワードが同時に盗まれるからだ。

 パスワードで暗号化されたファイルの解析は無限にパスワードを試行することができるためログインなどに使用するパスワードよりもずっと大きく複雑なものが要求される。6文字か8文字程度のパスワードなら数時間から数日で特定されてしまうため、ファイルの暗号化には32文字以上のランダムなパスワードを用いることが望ましいという。

仕組みとしてセキュリティの視点を入れる「セキュリティ・バイ・デザイン」

 ここで、武田氏は、内部犯行対策の考え方としていくつかの方法を提案する。1)内部情報は誰もが持ち出したいと考えることを前提に情報管理を厳格に行うべきであり、厳格に管理している姿勢を見せることで情報を持ち出そうという気にさせないことも大切。2)不正競争防止法によって刑事で厳しく罰せられることもひとつの抑止策として周知させることも重要。3)全関係者の当事者意識の共有によって、情報漏えい事件は他人事のように無関心でいるのではなく、いついかなる場合も自分の会社で起こることを想定しておく。4)不正を生まない環境構築と相互抑止を常に行っておくことで、内部犯行リスクに対して社員全員で考え、社内ルールを作ると犯罪抑止につながる。

 教育関係企業の大量情報漏えい事件を境に、社会や組織で個人情報の取扱に対する見方・考え方が大きく変わったと武田氏はいう。従来のセキュリティのアプローチはリスクのあるウイルスやプログラムを見つけ、削除するブラックリスト方式だったが、組織として管理する業務に必要なプログラムは限定されているので、社内のシステムに入れても大丈夫なホワイトリスト方式で管理することが望ましいという。

 最後に武田氏は、「セキュリティ・バイ・デザイン」という考え方を推奨する。「これは電気配線のヒューズのように仕組みによって情報安全を確保する方法で、リスクのあるところには情報を晒さないような業務にするほか、関係のない部署が顧客情報にアクセスできないようにする、業務システムも仕様設計の段階で見直し、個人情報を閲覧できる端末を限定するなど、仕組みとしてセキュリティの視点を入れ込むことが有効」とアドバイスし、基調講演を終了した。

【日立ソリューションズセッション1】
内部不正を防止するために企業は何を行うべきなのか

株式会社日立ソリューションズ
ハイブリッドインテグレーションセンタ
プロダクト戦略部 第2グループ
部長代理 中川 克幸

 企業の機密情報や個人情報の流出が後を絶たない中、内部不正を防止するために企業は何を行うべきなのか。企業が行うべき施策の概要について紹介した。

内部不正者に非があることを証明するためのポイント

 経済産業省が2014年8月18日に5つの経済団体に対して個人情報保護法などの遵守に関する周知徹底を要請した。その中でも述べられている『組織における内部不正防止ガイドライン』は、IPA(独立行政法人情報処理推進機構)から2013年3月25日に公開されている。このガイドラインは個人情報や技術情報などの重要情報について、特に組織の内部関係者の不正行為による情報漏えいを防止するための指針であるが、その後、2014年9月26日に改定版が公開され、1)経営層によるリーダーシップの強化、2)情報システム管理運用の委託における監督強化、3)高度化する情報通信技術への対応などが強調されている。

 その中の4章『内部不正を防ぐための管理のあり方』について、特に内部不正者に非があることを証明するためのいくつかのポイントを中川は詳しく説明した。

 1つ目は資産管理(秘密指定、アクセス権指定)。企業における資産管理とはPCやサーバーで扱われる情報資産を管理することで、情報資産目録の作成、重要緯度に応じた可視化、情報にアクセスする人や行為の制限などを例として示した。中川は、「これらを怠ると、重要な情報がどこに存在しているか把握できず、情報が漏えいしても気付かない場合や、不正競争防止法の適用が困難になることもある」と述べる。

 不正競争防止法を適用するには、該当する情報が「営業秘密」として管理されている必要があり、その中でも、秘密として管理されていること(秘密管理性)が特に重要で、情報にアクセスした者にそれが秘密であると認識できるようにすることが難しいといわれている。

 2つ目は人的管理。人的管理の対策としては、セキュリティ規定などルールは常に見えるように提示すること、定期的なセキュリティ教育を実施することなどを示した。

 3つ目はコンプライアンス。企業におけるコンプライアンスの例としては、機密保持契約書類提出の義務化や、就業規則などに罰則規定を定めることを述べ、これを怠ると競合会社がコピー製品を販売したり懲戒処分が無効になったりすると話した。

「『内部不正を防ぐための管理のあり方』に書かれている10の観点と30項目の対策を全て人手で行うのは困難であるため、セキュリティツールで管理者の負担を軽減させることも検討してほしい」と中川は語る。

企業がセキュリティ対策を検討する際のガイドライン

 次に、企業がセキュリティ対策を実施する際に、参考になりそうなガイドラインを紹介した。

 2014年9月30日にはIPAの『「高度標的型攻撃」対策に向けたシステム設計ガイド』の最新版が公開。攻撃シナリオにおける攻撃段階に沿った多層防御の必要性をうたっている。

 また、個人情報保護法の改正に先立ち、経済産業省の『個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン』が改訂され、事業者の義務をより具体化・詳細化している。

 さらに、2014年12月11日には、『特定個人情報の適正な取扱いに関するガイドライン(事業者編)』が公開され、罰則規定の強化や特定個人情報(マイナンバー)を取り扱う際の安全管理措置について述べられている。

 中川は「サイバーセキュリティ基本法や個人情報保護法改正、マイナンバー付与開始などに併せ、企業はセキュリティ対策の見直しを実施する必要がある」と纏めた。

【日立ソリューションズセッション2】
ITによる内部からの情報漏洩対策

株式会社日立ソリューションズ
関西・中部ネットワークセキュリティ部
主任技師 林 隆範

 内部不正を防止するために、企業はITによる技術的対策として何を実施すべきか。情報セキュリティソリューションの提案や構築に携わってきた経験を持つ林が具体的なセキュリティ対策を紹介した。

認証強化やID管理とともにデバイス制御対策も必要

 最初に、内部不正防止の技術的対策を説明する林は、共有アカウントの利用によるなりすましでサーバーにアクセスするケースや、クライアントPCに外部デバイスを利用して情報を持ち出すケース、ログ監視・監査の仕組みがないため管理者に許可されていない不正な持ち出しを見逃してしまうといった内部不正につながる脅威について触れた。

「認証強化やID管理を実施するとともに、PCから外部に情報を持ち出させないデバイス制御の対策が必要となる。また、不正行為を見逃さないためにリアルタイムに監視・管理する対策も必要だ」と林は述べる。

 それに関連した事例を林は紹介した。1つ目の業務システムポータルサイトへのログイン強化を目的とした事例では、紛失や貸し借りの心配のない指静脈認証によるログイン方式を採用し、既存システムと組み合わせて統合認証環境を構築。認証の正当性と速さを活かした上で、連携用インターフェースで既存業務アプリと容易な連携を実現した。

 2つ目の会計や人事システムなどのデータベース適正運用確認を目的とした事例では、アクセスログ管理システムによってログを全件取得し、想定されるアクセスパターンを設定することで、アクセス量の把握やメンテナンス操作の確認を可能にした。

 3つ目の機密情報の持ち出し検知・抑止の早期実現を目指した事例では、統合ログ分析環境を構築し、ログの相関分析を実施することや、監査システムの構築経験のあるコンサルタントを派遣することにより、不審行動シナリオの作成と、業務プロセス設計支援を実施した。

シャドーITを前提とした情報漏えい対策が不可欠

 次に、情報漏えい対策の再点検ポイントについて説明した。「ITのコンシューマ化が進んだ今、シャドーITを前提とした情報漏えい対策を講じる必要がある」と林は強調する。シャドーITとは、会社から認められていない個人の所有端末を利用して業務を行っている状態のことで、これが情報漏えい対策の抜け穴になっているという。USBメモリを使用禁止にしてもスマートデバイスへのデータコピーが可能な場合もある上、スマートデバイスのテザリングを経由したWebアクセスなどもマルウェア感染や情報漏えいにつながるリスクが高い。

 そのため、林は「PCからスマートデバイスへのデータコピーを防ぐには、OSで認識される可能性のある全てのデバイスに対してデータコピーをブロックする対策が必要。また、テザリング経由による直接のインターネットアクセスを防ぐには、会社が許可していない無線LANアクセスポイントへの接続を禁止する対策が有効になる」という。

 スマートデバイスを経由した情報漏えいの対策方法としては、日立ソリューションズの秘文シリーズが効果的で、様々なデバイスへのデータコピーを制御し、Wi-Fi制御でテザリングの使用も制限できる。

「秘文シリーズは、PCに接続できるスマートデバイスやUSBメモリなどの利用を制限することで重要情報の漏えいを防止する」と説明する林。秘文はOSレベルでデバイスを制御するため、新たなデバイスが登場してもコントロール可能な仕組みを実現しているという。

人は弱いものであるということを前提に対策を検討すべき

 続いて、内部不正防止ソリューションを紹介した。林は、「内部不正に着目したセキュリティコンサルテーションにより必要な対策を明確化し、豊富なセキュリティ関連製品を組み合わせて最適なソリューションを提供できる」と説明する。

 コンサルティングのサービスでは、現状の対策の不足点を洗い出し、企業の情報セキュリティポリシーの遵守状況を監査して内部不正防止対策の推進を幅広く支援するという。

 また、技術的対策としては、「静紋」、「AuthentiGate」、「Entrust IdentityGuard」などの認証強化・ID管理製品のほか、「ESS Rec」、「パワーセキュリティ」、「PISO」、「Splunk」などPC操作やサーバーアクセスの記録、不正アクセス、ログの監視・監査製品があり、さらに「秘文」、「オープンネットガード」などPCや各種デバイスへの持ち出し制御製品なども揃っていると説明した。

 その他、関連ソリューションとして、「統合認証・アクセス管理ソリューション」や「セキュア端末認証強化ソリューション」を紹介した。

「雇用の流動化やアウトソーシングが進むこれからは、人は弱いものであるということを前提に対策を検討する必要がある」と語る林は、人も情報も多様化・煩雑化が進み管理が難しいと指摘する。

 そして最後に、「内部不正を防止するための管理の一部はセキュリティツールによる技術的対策で運用負荷を軽減することが可能。また、スマートデバイスは企業にとって情報漏えい対策の抜け穴になりがちなため、データコピーやテザリングの利用を防止できる仕組みが必要となる。内部不正対策に何をすべきかわからない場合は、ぜひ日立ソリューションズの専門家にご相談いただきたい」と述べ、講演のまとめとした。

お問い合わせ

株式会社日立ソリューションズ Prowise Business Forum 事務局
〒108-8250 東京都港区港南2-18-1 JR品川イーストビル
TEL : 0120-958-545
FAX : 0120-989-097
E-mail : pbf@hitachi-solutions.com

セミナーに関するお問い合わせ

セミナーに関するご質問・ご相談など

お電話でのお問い合わせ 0120-958-545 受付時間:月曜日から金曜日(祝祭日除く)10時から17時30分

Webからのお問い合わせ

セミナーに関するお問い合わせ

日立ソリューションズ 論より証言
日立ソリューションズのご紹介
日立ソリューションズは、お客様の業務ライフサイクルにわたり、豊富なソリューションを全体最適の視点で組み合わせ、ワンストップで提供する「ハイブリッドインテグレーション」を実現します。