外からのサイバー攻撃と内部犯行の違いとは~内部不正対策の三要素 2ページ目 | ScanNetSecurity
2021.04.22(木)

外からのサイバー攻撃と内部犯行の違いとは~内部不正対策の三要素

外部からのサイバー犯罪に比べ異なった対策が必要とされる内部犯行。特に「正規権限を持つ内部者による犯行」は検知が困難だ。

研修・セミナー・カンファレンス セミナー・イベント
「内部犯行は脆弱性ではなく『内部統制の欠陥』を悪用する」  NHNテコラス株式会社セキュリティ事業部 三浦 康暢 氏
「内部犯行は脆弱性ではなく『内部統制の欠陥』を悪用する」 NHNテコラス株式会社セキュリティ事業部 三浦 康暢 氏 全 6 枚 拡大写真
内部統制の欠陥を解消し強化するために、三浦氏は「アクセス制御と監査」「特権ユーザ管理」「雇用形態別対策」の3つが必要なキーファクターであるという。

●アクセス制御と監査

アクセス制御と監査は内部統制の第一歩であり、識別(Identification)、認証(Authentication)、認可(Authorization)、そして監査(Auditing)の「IAA+A」がポイントであり、記録に残し定期的に検査するという監査を行うことで、不正の早期発見と周知による抑止効果が見込めるというわけだ。

●特権ユーザ管理

特権ユーザ管理では、複数人による特権IDの使い回しを回避する「使い回し対策」と、ユーザごとに使用できるコマンドを制限する「権限制御」が必要であると三浦氏は語った。使い回し対策では、rootというIDだけでなく、社員番号など個人に紐づいたIDを発行することで個人を特定できるようにする。権限制御では、ユーザやグループごとに、コマンドやクエリ単位で実行可否の制御をかける。

●雇用形態別対策

雇用形態別対策は、正社員、契約社員、派遣社員、外部委託業者(社内)、外部委託業者(リモート)といった雇用形態別に対策を行う考え方だ。それぞれ雇用主や勤務地が異なるため、対策項目も形態別に用意し遵守させる。正社員・契約社員の項目がもっとも多くなるが、それ以外の形態では「契約時に法務部門が関与する」ようにし、派遣社員では「トレーニング」、社内の外部委託業者では「付き添い」などを行うようにする。すべてに共通する「契約終了時の権限削除」は重要だ。

●霧島酒造が「Aegis Wall」導入で内部統制対策を実現

  1. «
  2. 1
  3. 2
  4. 3
  5. 続きを読む

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. 偽の reCAPTCHA認証がポップアップする改ざん被害発生、2020年も同様事例

    偽の reCAPTCHA認証がポップアップする改ざん被害発生、2020年も同様事例

  2. 10年前札幌医科大学で紛失したUSBメモリ、第三者からのデータ送付で事件が明るみに

    10年前札幌医科大学で紛失したUSBメモリ、第三者からのデータ送付で事件が明るみに

  3. Android版「COCOA」の不具合、4ヶ月間にわたり見逃されたことを問題視

    Android版「COCOA」の不具合、4ヶ月間にわたり見逃されたことを問題視

  4. IPAが「サイバーセキュリティお助け隊サービス」として5つのサービスを登録し認定

    IPAが「サイバーセキュリティお助け隊サービス」として5つのサービスを登録し認定

  5. ランドブレインへのサイバー攻撃、墨田区貸与情報も流出可能性

    ランドブレインへのサイバー攻撃、墨田区貸与情報も流出可能性

  6. 霞が関のPPAP廃止会見受け、「GUARDIANWALL Mailセキュリティ・クラウド」に機能拡張と新サービスを開発

    霞が関のPPAP廃止会見受け、「GUARDIANWALL Mailセキュリティ・クラウド」に機能拡張と新サービスを開発

  7. JPRS、Windows DNSサーバの脆弱性情報を公開

    JPRS、Windows DNSサーバの脆弱性情報を公開

  8. 横浜銀行で同一の広告発注先に対し2回にわたるメール誤送信、行内点検で発覚し即日対応

    横浜銀行で同一の広告発注先に対し2回にわたるメール誤送信、行内点検で発覚し即日対応

  9. ここが変だよ日本のセキュリティ 第 44 回 「どこも身近な問題ってどうよ ?! まだだ! まだ終わらんよ!!」(後編)

    ここが変だよ日本のセキュリティ 第 44 回 「どこも身近な問題ってどうよ ?! まだだ! まだ終わらんよ!!」(後編)

  10. ラック連結業績予想修正し特別損失計上、日本貿易保険元顧問の不適切行為に関与せずも協議長期化のため

    ラック連結業績予想修正し特別損失計上、日本貿易保険元顧問の不適切行為に関与せずも協議長期化のため

ランキングをもっと見る