可視化からはじめる内部不正対策のイロハ
データから見る内部不正の実態
昨今報道などで取り上げられる機会が増えている企業や組織における内部不正。なかでも組織内部の人間が企業にとって重要なリソースの1つとなる機密情報を盗み出したり漏えいさせたりするリスクは、経営的にも大きな課題となっています。
毎年IPA(独立行政法人 情報処理推進機構)が発表している「国内 情報セキュリティ10大脅威」では、過去3年間で見てもトップ10のなかに必ず入ってくるほどで、内部不正による情報漏洩に向けた何らかの対策が求められていることは間違いありません。実は過去10年間で見ても内部不正による情報漏洩は常にトップ10に入るほどで、長年企業を悩ます脅威の1つとなっているわけです。
セキュリティベンダのPonemon Instituteが行った従業員1000名以上のグローバル企業200社に対する調査をまとめた「内部脅威による損失グローバルレポート2020」によると、ユーザーIDやパスワードなどのクレデンシャル情報の盗用では、2016年と比較して件数が3倍に拡大しており、そのなかで191件が特権IDの盗用被害となっていることが明らかになっています。
同調査のなかで最も件数の多い内部不正は、従業員や請負で社内に常駐しているパートナーによる悪意のない不正です。具体的にはSNSで内部情報をうっかり書き込んでしまう、個人情報などが保管されたUSBメモリを紛失してしまうといった過失による情報漏洩が全体の63%に及んでおり、2016年と比べると1.5倍にまで増えていることが分かります。また、退職時の情報漏洩など悪意のある不正行為は全体の23%にあたり、2016年比では1.8倍と、こちらも増えている状況にあります。
内部不正が広がる背景
内部不正に関しては、法律面でも対策が強化されているなど、大きな社会問題として注目されている面も見逃せません。2020年に公布された個人情報保護法改正のなかでは、これまで努力義務だった情報漏洩時の報告が報告義務へと変わってきます。また、罰則も強化されており、具体的には企業による個人情報データベースなどの不正流用が明らかになると、改正前は50万円以下の罰金だったところ、改正後は1億円以下の罰金となるなど、罰則金額が大幅にアップ。企業において個人情報漏洩対策を強化する必要性が出てきていることは間違いありません。
さらに、日本企業の環境変化も内部不正リスクを高める要因となっています。これまでオフィスに出社して業務を行う環境から、新型コロナウイルス感染症(COVID-19)などの影響でテレワーク環境が広がり、在宅勤務の社員も増えていることから、物理的に目の行き届かない環境が広がっています。監視監督の面では内部不正が発覚しにくい環境が生まれているわけです。
雇用体系についても、これまでは終身雇用が中心だったものから、今では転職する人も増えており、1人が本業以外の仕事をする副業なども盛んに行われていることから、情報管理の面で情報が流出しやすい環境になってきていると言えます。
具体的な機密情報漏洩事件としては、転職先での待遇や評価を期待して情報を持ち出した某大手通信キャリアや相手先企業との情報交換で社内評価を高めるために情報を流出させてしまった某大手化学メーカーなどさまざまなメディアでも報道された事例などが挙げられます。なお、内部不正としては、横領や着服などの事件も頻発しています。顧客から預かった預金を着服する事例なども相次ぐなど、内部不正はあらゆる業界で発生しているのが今の状況なのです。特に横領や着服については個人で管理してしまっていること、そして外部の監査が入らないまま同じ業務に長年関わってしまったことが大きな要因の1つです。
世界的に見れば、現在のビジネス環境の変化によって以前よりも増してM&Aが加速し、グローバル化も進んできています。異なる企業が一緒になるタイミングでは、情報ガンバナンスの統制が十分に図れず、バックボーンの異なる社員同士が仕事をすることで不安定なガバナンス環境が生まれやすいとも言えるのです。
内部不正対策に必要な教育的側面とIT的側面
内部不正が広がりやすい背景からそのリスクが急激に高まっているなか、内部不正対策については、「機会」「動機」「正当化」の3つを軸にした不正のトライアングルを低減していくことが重要になってきます。なかでも、機会の部分では、アクセス権限の適切な設定やアクセスログの取得、監視カメラの設置などITを駆使することでリスク低減が可能になってくる部分でしょう。また動機面でも早期に不正の兆候を検知して内部不正に至る前に対策を実施するといったことも可能になるはずです。
もちろん、ITによるリスク低減だけでなく、内部不正を行う人にフォーカスすれば、そのための人材教育や継続的な教育環境の維持、確保が重要になってくるのは間違いありません。
ただし、どれだけ内部不正のリスクについて考えたとしても、自社の状況が分からなければ判断できないことも多いはずです。だからこそ、自社における現状を把握できるかどうかが重要になってきます。内部不正に関する悩みのなかでは、そもそも自社で起きている内部不正の状況が分からない、複雑な内部不正のために簡単に把握できない、内部不正を可視化するためにはコストも含めた多大な労力がかかるといったものがよく寄せられます。これらの悩みを解決するためにも、まずは自社の状況が把握できる仕組みをどう構築していくのかを考えていきたいところです。
内部不正を可視化する仕組みとは?
内部不正を防止するためのリスクマネジメント対策を実施するためには、まずは内部不正を把握、可視化するための仕組みを考える必要があります。具体的には、情報漏洩につながる内部不正の早期発見や事後対策に向けてログを保存することや定期的な監査を通じて異常な事象の早期発見に努めていくことはイメージしやすいものの、複雑な内部不正を簡単に把握できるのか不安に感じる方も多いことでしょう。また、把握するために可視化する環境づくりやその運用に膨大な労力やコストが発生すると思われる方も少なくありません。
特に内部不正の場合、既存のセキュリティ製品では検知が難しいのが特徴です。そのため、さまざまな機器のログから不正な動きを検知するログ解析が有効になってきます。それでも、従来あるような統合ログ管理のためのSIEMでは、どうしても過検知や誤検知が多く、ルールの作成や怪しい動きかどうかの閾値を調整することに時間がかかってしまうこともございます。
また運用面では複数機器から寄せられるログから異常を見つけ、迅速に全体を把握する必要がありますが、SIEMを使いこなすことはもちろん、ログの内容を理解するスキルが求められ、調査にも時間がかかるものです。
内部不正を可視化、検知していくためには、これまでとは異なるログ管理の仕組みが求められます。具体的には、ユーザーの行動を分析して不審な兆候や怪しいユーザーをスコアリングし、複数の検知ルールや自動調整できるUEBA(User and Entity Behavior Analytics)を備えた次世代SIEMが1つの解決策として有効です。また集まってきた情報を自動的にユーザーごとに整理し、タイムライン上に時系列で可視化できるような機能があれば、最小限の知識で運用していくことが可能になるはずです。
従来型SIEMと次世代SIEMの違い
ログを収集して可視化できるSIEMですが、UEBA機能が備わった次世代SIEMと旧来型のSIEMでは大きな違いがあります。これまでのSIEMは、さまざまなログから正しく状況を把握するために高度なスキルや多くの時間が必要で、どうしても専門家による属人的な運用になりがちです。次世代SIEMであればタイムライン化やコンテキスト化、スコアリングなどが自動化されており、高度なスキルがなくとも迅速な状況把握や内部不正のあぶり出しが可能となるため、ログ解析の専門家でなくとも扱うことができる機能が備わっています。
内部不正対策に向けた取り組みプロセスを分解してみると、機械による自動化の割合が少ないのが実態ですが、次世代SIEMであれば多くの部分が自動化できるようになります。ログ管理から検知、調査、対処というプロセスのなかで、検知の部分から人手による作業が必要な従来SIEMに対し、次世代SIEMでは調査における状況把握までがほぼ自動化でき、最終的に人がやるべきは、正誤判定や判断、対処実行という部分のみに絞ることが可能です。重要な判断以外は、ツール側に任せてしまえることで、内部不正対策に関する労力を大幅に軽減することができるのです。
具体的な状況把握が迅速に行うことができるようになれば、その不正行為に対する対策や的確な対応が可能になるわけです。
内部不正対策に役立つ具体的なソリューション
そんな内部不正対策に有効なソリューションとして、マクニカネットワークスでは3つのエリアをカバーするソリューションを提供しています。大きくは、一般業務と重要業務、そして情報システム部と専門性の高い業務までカバーするソリューションを提供しており、サーバーからDB、SaaS、アプリケーション、エンドポイントというカバーすべき各領域に対して有効なソリューションを通じて、内部不正対策のエリアを網羅しています。具体的なソリューションとしては、全体をカバーして可視化しながらアクションを起こすことができるExabeamやSplunkを、システム内に特権的なアクセスが可能となる特権IDの管理を行うCyberArkを、そして全従業員をカバーしていくエンドポイント型の内部不正対策としてObserveITなどを提供しています。また、人に対するセキュリティ教育としてProofpointを用意しています。
情報システム部が管理・運用する特権IDは、システムのメンテナンスなどを行う際に必要なものですが、悪用することで簡単に内部不正につながってしまうもの。そこで特権IDが管理できるCyberArkを活用すれば、特権IDの保管と通信の暗号化はもちろん、多要素認証によるユーザー認証を実現し、定期的なパスワードローテーションを行うことが可能です。また、アクセスセッションの管理及びそのプロセスを動画にて録画する機能、そして作業者に対しての行動を一時的に制御することや、切断・再開といった制御がリアルタイムに実施できる機能が備わっている点が大きな特徴です。作業プロセスが録画されることで特権IDを用いた不正行為の抑止につながるだけでなく、リスクスコアが高い不審な活動をライブで監視し、管理者側でリアルタイムに制御できるため、特権IDを用いた不正行為の抑制に大きく貢献します。
エンドポイントにおける内部不正対策として機能するObserveITは、全てのユーザーのサーバーおよびデスクトップの操作を監視し、キャプチャとテキストメタデータで記録や再生が可能な点が大きな特徴です。アクセス履歴のレコードごとに再生ボタンが用意され、その状況を画像としてとらえることが可能なため、高度な知識がなくともビジュアルで状況が理解できるため、専門家による属人的な運用を強いることがありません。
また、事前に設定したセキュリティポリシーに応じて、ユーザーがアクションを起こした際に管理者側からプロアクティブにポップアップにて注意喚起を行うことができ、アクションの前後でのデータも容易に把握できるようになります。
セキュリティ教育のツールとしてSaaSにて提供されるProofpointのSecurity Awareness Trainingでは、サブスクリプションでのライセンスで手軽に始めることができるだけでなく、契約中であれば何度も訓練、トレーニングが実施できます。また、35カ国以上のマルチ言語に対応しており、グローバルでのセキュリティ意識の醸成に大きく役立ちます。対話型やゲーム式、ビデオ型などさまざまな形式でのトレーニングを用意しており、学習効果を測定しながら知識定着に向けたノウハウがしっかりとサービス内に組み込まれています。もちろん、自社の環境に応じたコンテンツのカスタマイズも可能です。
内部不正対策においては、まずは運用負担を最小限におさえながら、高度な専門知識がなくとも可視化、状況把握できる基盤づくりが何よりも必要です。そんな内部不正対策に有効な環境づくりの第一歩をマクニカネットワークスが支援します。
Proofpoint(セキュリティ教育)資料
『内部不正の現状の解説と、Proofpoint社の「人」にフォーカスした内部不正対策ソリューションのご紹介』
CyberArk オンデマンド動画
『Attack&Defend:特権ID管理による最新サイバー攻撃の防御』
『コロナ時代の新定番クラウド型特権ID管理基盤「PCloud」×「ALERO」のご紹介』
『【セミナー動画】コロナ時代のテレワーク特権アカウント管理とは"クラウドの管理者権限"管理できていますか?』
Exabeam オンデマンド動画
『リモートワーク推進時代における内部脅威対策
~内部不正対策ソリューションのリーディングカンパニーExabeamで実現するリスクの可視化~』
Splunk ホワイトペーパー
『Splunk UBAで始める内部不正対策のススメ』
※本記事は2021年5月に開催した「Macnica Security Forum 2021」の講演内容を元に執筆しています。
その他の講演内容はこちら▼
考え方は理解できるけど、結局どこから始めるの? ゼロトラスト実現の理想と現実