内部不正の早期発見に必要なポイントを紹介（デロイトトーマツサイバーセキュリティ先端研究所）

デロイトトーマツサイバーセキュリティ先端研究所は9月3日、「内部不正」をテーマとした記者向け発表会を開催した。発表に先立ち、同研究所の所長である丸山満彦氏は「内部不正が権限のある者が行うため、アクセスコントロールでは守れない。ロジカルな対策が必要になる」と述べた。主任研究員である白濱直哉氏は、サイバー犯罪の犯人の1/4が内部者であり、その被害は外部者による犯行とほぼ同じという資料を示した。

また、内部不正の要因には「機会：不正が可能な環境」「動機：不正を働くきっかけ」「正当化：不正を正当化する理由」の3つの要素があるとし、これらが揃ったときに犯行が行われるとして、それぞれのリスクを識別して対策していくことが必要であるとした。一方、組織側では「不正を行う職員はいない」「漏えいして困る情報はない」「対策は万全である」といった認識が多く、この認識が内部不正対策を阻害していると指摘した。

さらに、内部不正対策は実際に被害に遭った組織においても十分な対策ができていないケースが多いとして、チェックリストを示した。リストは大きく「定義と責任の明確化」「重要情報の所在を明確にし、アクセス権限者を限定」「情報の出口を押さえる」の3項目に分類されているが、特に重要情報の所在とアクセス権限者の限定において実施できていないところが多いという。

内部不正対策と同等に不正アクセスを発見する仕組みが重要であるとして、白濱氏はログ監視ツールによる相関分析を提案した。分析手法を高度化させることにより、セキュリティインシデントだけでなく、業務上の不正などの発見に対応できるとした。

続いて登壇した主任研究員である高橋宏之氏は、内部不正の早期発見に関するデロイトの先進的な考察について発表した。内部不正の早期発見は、外部攻撃に対するログ監視以上に、さまざまな配慮や工夫が必要になるとして、その問題点に「定義が複雑」「不正に利用されるデバイスがさまざま」「一歩間違えると企業や従業員間のトラブル（訴訟など）に進展」「単一のログ（挙動・操作）だけでは不正のあぶり出しが困難」の4つを挙げた。

高橋氏はこれらの問題点に対し、「定義を明確にすること」「内部不正を実行するまでの流れを理解すること」「システムから不正の可能性を絞り込み、社内CSIRTやSOCなど複数の部署で監視を行い、不正が起きたらリアルタイムに直属の上司が現場確認すること」「相関分析とスコアリングによって容疑の高い人物を特定すること」が重要であるとした。

これらの対策のためにあるべき仕組みとして、高橋氏はSIEMなどのログ監視ツールと分析ツールの組み合わせを挙げた。過去のログを分析ツールにより相関分析や可視化を行い、そこから内部不正を想定し容疑者を特定し、SIEMなどのリアルタイム分析や相関分析によって現場を押さえる形となる。中堅・中小の場合はログの蓄積から始めるべきとした。また、同社ではセキュリティとアナリティクスの専門部隊の連携によってシナジーを創出する取り組みを行っているとまとめた。