外からのサイバー攻撃と内部犯行の違いとは~内部不正対策の三要素 2ページ目 | ScanNetSecurity
2024.03.29(金)

外からのサイバー攻撃と内部犯行の違いとは~内部不正対策の三要素

外部からのサイバー犯罪に比べ異なった対策が必要とされる内部犯行。特に「正規権限を持つ内部者による犯行」は検知が困難だ。

研修・セミナー・カンファレンス セミナー・イベント
PR
「内部犯行は脆弱性ではなく『内部統制の欠陥』を悪用する」  NHNテコラス株式会社セキュリティ事業部 三浦 康暢 氏
「内部犯行は脆弱性ではなく『内部統制の欠陥』を悪用する」 NHNテコラス株式会社セキュリティ事業部 三浦 康暢 氏 全 6 枚 拡大写真
内部統制の欠陥を解消し強化するために、三浦氏は「アクセス制御と監査」「特権ユーザ管理」「雇用形態別対策」の3つが必要なキーファクターであるという。

●アクセス制御と監査

アクセス制御と監査は内部統制の第一歩であり、識別(Identification)、認証(Authentication)、認可(Authorization)、そして監査(Auditing)の「IAA+A」がポイントであり、記録に残し定期的に検査するという監査を行うことで、不正の早期発見と周知による抑止効果が見込めるというわけだ。

●特権ユーザ管理

特権ユーザ管理では、複数人による特権IDの使い回しを回避する「使い回し対策」と、ユーザごとに使用できるコマンドを制限する「権限制御」が必要であると三浦氏は語った。使い回し対策では、rootというIDだけでなく、社員番号など個人に紐づいたIDを発行することで個人を特定できるようにする。権限制御では、ユーザやグループごとに、コマンドやクエリ単位で実行可否の制御をかける。

●雇用形態別対策

雇用形態別対策は、正社員、契約社員、派遣社員、外部委託業者(社内)、外部委託業者(リモート)といった雇用形態別に対策を行う考え方だ。それぞれ雇用主や勤務地が異なるため、対策項目も形態別に用意し遵守させる。正社員・契約社員の項目がもっとも多くなるが、それ以外の形態では「契約時に法務部門が関与する」ようにし、派遣社員では「トレーニング」、社内の外部委託業者では「付き添い」などを行うようにする。すべてに共通する「契約終了時の権限削除」は重要だ。

●霧島酒造が「Aegis Wall」導入で内部統制対策を実現

  1. «
  2. 1
  3. 2
  4. 3
  5. 続きを読む

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

    富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

  2. ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

    ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

  3. 総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

    総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

  4. プロ e スポーツ選手のアカウントにハッキング

    プロ e スポーツ選手のアカウントにハッキング

  5. 日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

    日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

  6. 時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

    時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

  7. UDP ベースのアプリケーション層プロトコル実装にサービス運用妨害(DoS)の脆弱性

    UDP ベースのアプリケーション層プロトコル実装にサービス運用妨害(DoS)の脆弱性

  8. 脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術

    脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術PR

  9. Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

    Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

  10. 「サイバーセキュリティお助け隊サービス」制度に新たに 2 類を創設、価格要件を緩和

    「サイバーセキュリティお助け隊サービス」制度に新たに 2 類を創設、価格要件を緩和

ランキングをもっと見る