内部不正の早期発見に必要なポイントを紹介(デロイト トーマツ サイバーセキュリティ先端研究所) | ScanNetSecurity
2024.06.14(金)

内部不正の早期発見に必要なポイントを紹介(デロイト トーマツ サイバーセキュリティ先端研究所)

デロイト トーマツ サイバーセキュリティ先端研究所は、「内部不正」をテーマとした記者向け発表会を開催した。

脆弱性と脅威 脅威動向
同研究所の所長である丸山満彦氏
同研究所の所長である丸山満彦氏 全 8 枚 拡大写真
デロイト トーマツ サイバーセキュリティ先端研究所は9月3日、「内部不正」をテーマとした記者向け発表会を開催した。発表に先立ち、同研究所の所長である丸山満彦氏は「内部不正が権限のある者が行うため、アクセスコントロールでは守れない。ロジカルな対策が必要になる」と述べた。主任研究員である白濱直哉氏は、サイバー犯罪の犯人の1/4が内部者であり、その被害は外部者による犯行とほぼ同じという資料を示した。

また、内部不正の要因には「機会:不正が可能な環境」「動機:不正を働くきっかけ」「正当化:不正を正当化する理由」の3つの要素があるとし、これらが揃ったときに犯行が行われるとして、それぞれのリスクを識別して対策していくことが必要であるとした。一方、組織側では「不正を行う職員はいない」「漏えいして困る情報はない」「対策は万全である」といった認識が多く、この認識が内部不正対策を阻害していると指摘した。

さらに、内部不正対策は実際に被害に遭った組織においても十分な対策ができていないケースが多いとして、チェックリストを示した。リストは大きく「定義と責任の明確化」「重要情報の所在を明確にし、アクセス権限者を限定」「情報の出口を押さえる」の3項目に分類されているが、特に重要情報の所在とアクセス権限者の限定において実施できていないところが多いという。

内部不正対策と同等に不正アクセスを発見する仕組みが重要であるとして、白濱氏はログ監視ツールによる相関分析を提案した。分析手法を高度化させることにより、セキュリティインシデントだけでなく、業務上の不正などの発見に対応できるとした。

続いて登壇した主任研究員である高橋宏之氏は、内部不正の早期発見に関するデロイトの先進的な考察について発表した。内部不正の早期発見は、外部攻撃に対するログ監視以上に、さまざまな配慮や工夫が必要になるとして、その問題点に「定義が複雑」「不正に利用されるデバイスがさまざま」「一歩間違えると企業や従業員間のトラブル(訴訟など)に進展」「単一のログ(挙動・操作)だけでは不正のあぶり出しが困難」の4つを挙げた。

高橋氏はこれらの問題点に対し、「定義を明確にすること」「内部不正を実行するまでの流れを理解すること」「システムから不正の可能性を絞り込み、社内CSIRTやSOCなど複数の部署で監視を行い、不正が起きたらリアルタイムに直属の上司が現場確認すること」「相関分析とスコアリングによって容疑の高い人物を特定すること」が重要であるとした。

これらの対策のためにあるべき仕組みとして、高橋氏はSIEMなどのログ監視ツールと分析ツールの組み合わせを挙げた。過去のログを分析ツールにより相関分析や可視化を行い、そこから内部不正を想定し容疑者を特定し、SIEMなどのリアルタイム分析や相関分析によって現場を押さえる形となる。中堅・中小の場合はログの蓄積から始めるべきとした。また、同社ではセキュリティとアナリティクスの専門部隊の連携によってシナジーを創出する取り組みを行っているとまとめた。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 役に立たないメール訓練 もうやめません? by Googleセキュリティ担当者

    役に立たないメール訓練 もうやめません? by Googleセキュリティ担当者

  2. 不正アクセス 盗まれたのは公式サイトのドメイン

    不正アクセス 盗まれたのは公式サイトのドメイン

  3. KADOKAWA グループ複数サイトで障害、サイバー攻撃の可能性

    KADOKAWA グループ複数サイトで障害、サイバー攻撃の可能性

  4. PR会社が利用するクラウドストレージに不正アクセス、PDFや画像など静的データ削除

    PR会社が利用するクラウドストレージに不正アクセス、PDFや画像など静的データ削除

  5. イセトーにランサムウェア攻撃、複数のサーバと PC が暗号化被害

    イセトーにランサムウェア攻撃、複数のサーバと PC が暗号化被害

  6. 失業後データ盗み大手 IT 企業を恐喝、セキュリティコンサルタント 57 歳起訴

    失業後データ盗み大手 IT 企業を恐喝、セキュリティコンサルタント 57 歳起訴

  7. 海外サイトに顧客情報が掲載 ~「転職支援サイト」 に不正アクセス

    海外サイトに顧客情報が掲載 ~「転職支援サイト」 に不正アクセス

  8. 九州電力グループのキューヘンにランサムウェア攻撃、社内情報の一部が暗号化被害

    九州電力グループのキューヘンにランサムウェア攻撃、社内情報の一部が暗号化被害

  9. IPA、中小企業向けの内部不正防止対策の報告書公開

    IPA、中小企業向けの内部不正防止対策の報告書公開

  10. 2023年届出件数 過去最高 100万件超え「フィッシングレポート 2024」公開

    2023年届出件数 過去最高 100万件超え「フィッシングレポート 2024」公開

ランキングをもっと見る