グローバル時代の企業防衛、特命・情報リスク調査分析チーム第4回「内部犯行」

グローバル化が進展し、企業を脅かすリスクが変化しつつある現在、企業の権益と情報資産をいかに守るかを、4回にわたって専門家に話を聞き、その要諦を確認する。最終回は内部犯行について取り上げる。S&Jコンサルティング株式会社代表取締役社長三輪信雄氏はセキュリティ企業の代表取締役や総務省情報化統括責任者（CIO）補佐官など、数々のセキュリティ関連の要職を歴任してきた。その三輪氏は、標的型攻撃よりも実害が大きいのが内部犯行だ、と警鐘を鳴らす。今回、内部犯行とその対策について尋ねた。

---

● 内部犯行増加の背景

―　内部犯行は増えていますか、減っていますか？

三輪　お困りの企業や団体から相談が寄せられることもあり、内部犯行の件数が増加していることを実感しています。ただ、政府などが発表するデータには現れにくいのです。内部犯行は公表されることなく処理されており、また日本では情報窃盗を犯罪として立証しにくいためです。

―　デジタルフォレンジックや監査を行う企業の売上や株価が、近年伸びていることも内部犯行が増えている裏付けになるかもしれませんね

三輪　コスト削減やBCP対応に追われる企業は少なくないのですが、その一方で、内部犯行による情報漏えいリスクは高まってしまうことがあるのです。また、景気の悪化や個人情報を売買するブラックマーケットの存在という要因もあるので、その増加は当然でしょう。一方で効果的な対応を行っている企業は多くはないようです。インシデントが発生してからの対応と再発防止策に追われるケースが少なくありません。

●統合ログ管理システムを用いた「トラップ」とは

―　どう対策を取るべきでしょうか？

三輪　対策の3本柱は「防ぐ」「見つける」「対処する」です。

「防ぐ」について、まずは守る対象を絞ります。すべての情報を守る事は不可能に近いのです。お客様から預かっているデータに絞ることや、顧客情報に絞るということも現実的でしょう。まず、特定の最も重要な情報に絞っての対策を行うことで、次の優先順位の情報への対策も見えてくるのです。
各社で自社に重要な情報が何かは分かっているはずです。守る対象を決めた上で、さらにその機密情報に誰がどのような端末や経路からアクセスできるかを整理し、適切なアクセス制御を行います。リスク分析に多くの時間を割いてしまう企業が多いのですが、特定の最も重要な情報に絞って対策のサイクルを回すことをお薦めします。

適切なアクセス制御を施しても、内部犯行では通常の業務の権限の範囲の中で情報を盗みますから、アクセス制御だけでは防ぐことが困難であることも多いのです。また、少人数ならまだしも、数千人、数万人にもなるとアクセス制御をきめ細かく設定すること自体が大変な作業になってしまいます。

そこで、「見つける」が重要になってきます。内部犯行には傾向があります。「アクセスが多い」「業務範囲外のDBやフォルダを参照する」「周囲に人がいない時間帯に操作を行っている」などは内部犯行が疑われる行動です。ピンポイントで目標の情報だけを盗むこともありますが、たいていの場合は重要な情報がどこにあるかを探す過程が前段階としてあったり、繰り返し様々な情報を盗み出す行動が見られるのです。

したがって、統合ログ管理システム上でどういったログを取るかを決定して、トラップをしかけます。ログインやアクセスの回数に対する閾値、DBやフォルダなどの参照先やアクセス回数、深夜や休日といった時間帯、他の社員のアクセスの有無等々の疑わしい行動のパターンでアラートが発せられるようにするのです。また、盗み出された時の手がかりになるようにデータベースやファイルに特定のダミー文字列などを忍ばせることも効果的です。

内部の不正や疑わしい行為を見つけたら「対処する」必要がありますが、内部犯行に関連する一連の職能や権限は、従来の情報システム部門にはありません。

●起こりうる不正を事前にイメージできること

―　連載最初のインタビューで、三井物産セキュアディレクションの大河内調査研究部長が、グローバル化する企業に求められる新たな職能として、情報システム部門とは別個に、企業内に専門の調査分析チームを設立する必要性を訴えています

三輪　「防ぐ」「見つける」「対処する」の一連の活動は、経営企画部あるいはCSRといった部門の下にあるチームが担う必要があるでしょう。ログを閲覧、調査でき、情報システム部門の社員を含めた全スタッフに対して聴き取りなどの権限を持ち、さらには社長が信頼できる特命チームを編成するのです。

信頼できると自分が信じた会社があれば、そこへアウトソースすることもお勧めします。なぜなら、トラップの条件を設定するには、性悪説を前提に、事前にどういう犯行が起きるのかを想像できなければなりません。通常の残業と犯行とを切り分け、日中の業務に紛れて行われる犯行を炙り出す必要があります。これには経験に基づいたセンスが要求されますが、社内でそうした専門家を育てるのは現実的ではありません。

また、それぞれの企業で一から考えるのはナンセンスです。個々の企業ごとに重要な情報の格納場所やログの場所、サーバ名、閾値などをカスタマイズする必要はありますが、どの企業でもトラップのパターンはおおむね同じです。ここは専門家の知見を活かし、ファイアウォールやIDSと同様、導入と初期設定を専門家に依頼すべきです。

もちろん丸投げではなく、情報システム部門や、業務知識を持つ営業部門の協力も必要です。また導入後、生データを社内で精査するのはいいかもしれません。

●内部犯行と標的型攻撃の共通点

―　企業は外からは標的型攻撃、中からはよりシビアな内部犯行にさらされています

三輪　実は標的型攻撃と内部犯行は、社内に潜伏して重要情報を持ち出すという意味で一緒です。重要情報を持ち出すのがプログラムなのか人間なのかの違いでしかありません。対応も、同一の統合ログを精査し、同様の仕様で検出し、経営陣に報告を上げるなど重複が多いです。したがって内部犯行対策とAPT対策は同時に行うのが合理的でしょう。

---
三輪信雄
S&Jコンサルティング株式会社代表取締役社長。総務省情報化統括責任者(CIO)補佐官を務める他、情報セキュリティに関連する、多数の、政府・企業・団体の会議・委員会などで指導的役割を果たす。4月17日、品川で開催されるセミナー「グローバル化時代の不正対策」で講演を行う