企業における情報漏えい対策-入門編(3/6)
~ 覚えていますか? 大手通信教育会社の流出事件 権限を持つ「人」が原因、アカウント管理と監視の徹底を ~

pixta_11598955_S

内部犯行による情報漏えい・・・。社員のモチベーション低下にもつながる、考えたくない事態ですが、情報量が膨大になっている現在、起こってしまうと経営全体に影響を与える大きな事態に至ります。外部対策だけでなく内部対策も重要です。「対策すること」が予防にもなるのです・・・。

皆さんが情報漏えいの原因として今最も懸念しているのは、標的型攻撃やSQLインジェクションに代表される外部からの不正アクセスではないでしょうか。確かに、ひとたびこうした攻撃を受けてしまうと、大量の情報が流出してしまうことも多く、事業への影響は甚大なものとなります。特に最近、標的型攻撃による情報流出事件が複数報道されていることもあって、心配するのも無理からぬことかもしれません。

前回:入門編(2/6)~まずは「標的型攻撃」とその対策を理解しよう~

しかし、同じように企業に甚大な影響を与える原因がもう一つあります。社員や契約社員、外部委託先といった内部関係者による意図的な犯行です。内部犯行の場合、権限を持っている人物によってデータへのアクセスが行われるため、技術的な対策だけでは防止が困難であるという特徴があります。

繰り返される「内部犯行」による情報漏えい

内部犯行の典型例が、約1年前に大手通信教育会社で発生した情報漏えい事件でした。この会社では、顧客情報を保存していたデータベースの保守・運用業務を外部業者に委託していました。その運用を担当していた派遣社員が、数回に分けて業務用端末にスマートフォンを接続して顧客情報をコピーして外部に持ち出し、名簿業者に売却していたのです。

別の通信教育事業者からダイレクトメールが届いたことをきっかけに調査が始まり、最大で約2070万件に上る顧客情報が流出していたことが明らかになりました。子供の名前や生年月日といった個人情報が含まれていたこともあり、社会的に大きな問題となったのは記憶に新しいところでしょう。中にはお詫びの手紙を受け取った読者もいるのではないでしょうか。

当該の会社では、数万件に上る苦情への対応と500円相当のお詫びの品の送付といった顧客対応はもちろん、事故調査委員会を組織して原因調査と再発防止に取り組み、また同時に、経済産業省への報告に追われました。同社の経営に及ぼした影響も少なくありません。一時は株価が約8%下落した他、顧客離れもあり、2015年3月期の決算では上場以来初の赤字となりました。

赤字転落

このように経営に非常に大きなインパクトを残した事件ですが、この会社が後に公開した事故調査報告書を読んでみると、まったく対策を取っていなかったわけではありません。私物の機器の持ち込みを制限し、通信内容やファイル操作を監視するなど、むしろ平均以上の対策をとっていたようにも見えます。にもかかわらず事件が発生してしまったことが、内部犯行への対策の難しさを示していると言ってもいいでしょう。

そもそも内部犯行による大規模な情報漏えい事件はこの事件が初めてではありません。関係者や元社員による顧客情報や企業秘密の持ち出しは過去にもたびたび発生しています。そのたびに再発防止の必要性がうたわれるのですが、なかなかうまくいかないようです。ITシステムに限らず、不祥事全般に言えることですが、この手の不正は「権限を持つ人」によって行われるからです。

では、一体どうすればいいのでしょうか。

アカウント管理とログ監視で内部犯行の「機会」を減らす

犯罪心理学では不正の背景に、「動機・プレッシャー」「機会」「正当化」という三つの要素からなるトライアングルがあるという分析があります。これらのうち、「本人の経済的な事情」に代表される動機・プレッシャーという要素を第三者がコントロールするのは困難です。しかし、内部犯行による見返りを少なくし、犯行そのものの難易度を上げることで「機会」を減らすとともに、事前に情報の取り扱いに関するルールを示すことで「正当化」を許さない環境を作ることで、ある程度内部犯行のリスクを減らすことができるでしょう。

情報漏えい対策という観点で言えば、まずは守るべき情報を分類し、重要度に応じて扱い方(ポリシー)を定め、アクセス権限を適切に設定します。そして不必要なアカウント、特に退職者や異動者のアカウントを速やかに削除し、常に必要な人物のみが必要な範囲のみのデータにアクセスできる状態を維持します。このとき、システム管理者権限をはじめとするアカウントの共有は御法度です。また、他人に盗み見られたり、推測されないよう、パスワードを適切に管理することも大切です。

同時に、これらアカウントがどんな操作を行ったかというログを収集し、定期的に監査することで、不正を早期に見つけ出す体制を整えます。

 

ここで大切なのは、「不正を見張っている」ことを社員に周知徹底し、「その気を起こさせなくする」ことです。情報処理推進機構(IPA)が行った「組織内部者の不正行為によるインシデント調査」(https://www.ipa.go.jp/about/press/20120717.html)によると、一般社員が内部不正をする気が低下する対策として最も多く挙がったのが「社内システムの操作の証拠が残る」こと。その次が「顧客情報などの重要な情報にアクセスした人が監視される(アクセスログの監視などを含む)」ことでした。監視という拒否感を持つ方がいるかもしれませんが、むしろ社員を守るという観点で適切に実施することが必要な時期に来ているのでしょう。

 

今回ご紹介したアカウント管理やアクセス制御、ログ監視といった仕組み作りを支援する技術的なソリューションは存在します。が、それらを導入しただけでは不十分であることも認識していただきたいと思います。

例えば、技術やシステム環境は常に変わっています。先に紹介した通信教育会社のケースでは、過去の内部犯行事件を参考に「USBメモリへのデータ書き出し」を禁止するツールを導入していました。しかし、スマートフォンの登場とそれにともなう新たなプロトコルに対応していなかったことが盲点となり、情報が外部に持ち出されてしまったのです。

ソリューションを導入しただけで安心するのではなく、技術や環境の変化に応じて定期的に見直すことも必要です。

システムの取り巻く環境

何より内部不正は「人」が行うことです。他の不祥事防止策同様、社員やともに働く人々にとって居心地がよく、風通しがよく、不正を働きにくい労働環境を作り上げることも大事な対策となるでしょう。

次回に続きます。

 

第1回:入門編(1/6)~話題の「標的型攻撃」以外にもある情報漏えいの経路~

第2回:入門編(2/6)~まずは「標的型攻撃」とその対策を理解しよう~

 

編集:ビジネスon IT運営事務局(セキュリティ班)

メールマガジンを購読する

Pocket

コメント