見出し画像

第58話 内部不正漏洩の半数はシステム管理者による

吉田 晋 情報処理安全確保支援士(登録025036号)



画像1

システム管理者による内部不正情報漏洩

IPA発行「内部不正による情報セキュリティインシデント実態調査(2016年3月)」によると、内部不正情報漏洩実行者の半数以上がシステム管理者である。

画像2

内部不正の被害額はサイバー攻撃より大きい

このIPAの報告書では、実際に内部不正をした事例10件について直接インタビューも行っている。そのインタビューの内容を専門家がまとめた考察が非常に示唆深い。

内部不正の傾向
・内部不正を含め情報セキュリティインシデントは全体的に増えている印象である。
・内部不正事件の中では、デバイスやネットワーク経由で情報を持ち出すケースが多い。
・内部不正の調査として、スマートフォンの解析を行うことが増えた。
経営者や上位職者の不正を調べるケースが多い。
・外部からの指摘、内部通告、会計監査から発覚するケースが多い。
・上司や権限を持つ人物が不正行為を行うことも多い。
・金銭目的での情報漏えいが多く、入手した会社の極秘情報をマスコミ等に売ってしまう事例も多い。
・被害額ベースで考えると、サイバー攻撃よりも、内部犯行による損害は大きい
・外部からの通報により情報漏えいが発覚するケースも多い。情報と引き換えに金銭を要求される事例もあ る。
・不正行為者はセキュリティの一番弱い点を突いて情報を持ちだそうとする。プリンタ経由の情報漏えいもそ のひとつである。中には、わからないように、重要情報のファイル名を「お花見の御連絡」等に変えているケー スもあった。


アンケートやインタビューの調査では、経営者やシステム管理者のように権限を持った人物の犯行が目立ち、被害額も外部のサイバー攻撃よりも大きいとされている点が注目するべき点であろう。

監査ログ強化はマルウェア感染対策にも有効

対策についても、権限を持った人物の犯行を抑止するために、ログ監査が重要であるという考察が述べられている。

証拠保全のために必要な対策
・操作ログを取ることで、どのような作業をしたのか把握することができる。ログを保管するためのサーバを切り離し、アクセス権を分離することで、システム管理者でもログの削除が行えないようにすることができる。
・Windows の標準機能にあるログ機能はイベントログであり、不具合の原因究明には使える可能性があるが、何をしたのかまでは把握することができないため、証跡にはならない。
・ドメインコントローラ、プロキシ、ファイアウォール等のログを十分な期間とれていないケースが多い。記録が少ないと、内部不正なのか外部攻撃なのかさえ判断することができない。
・多要素認証を行うことで、個人とデータを紐づけることができる。なりすましを防いだり、意図的に不正行為を行ったことが証明できたりといった効果がある。
・システム管理者とは別にセキュリティ管理者を設置し、権限分散することでシステム管理者が勝手に設定を変えたり、履歴を消せないようにしている。

システム管理者が情報窃取実行者であるため、窃取者がログを削除しないようにすることが重要である。
最近のマルウェアは社内に侵入し権限を奪ったあと自分の証跡を削除するものが増えてきている。侵入や窃取の痕跡を削除させないログ管理方法は、今後ますます重要であると考えられる。

一般社員向けの内部不正対策

内部不正対策は
・一般社員向け対策
・システム管理者向け対策
の2つに分けて考えられる。

一般社員向け対策
1,情報持ち出禁止
・機密情報をインターネット経由でアップロードさせない仕組み。(ファイアーウォールの接続先制限や、セキュアゲートウェイの導入など)
・機密情報をメール添付で持ち出させない仕組み。(メールサーバの添付ファイル禁止や、個人メールドメインへの接続制限など)
・USBメモリなど外部記憶デバイスへの接続禁止。
・スマホのファイル同期禁止。(同期アプリのインストール禁止やファイルそのもののPCへの保存禁止など)
・印刷禁止(セキュアブラウザのみの閲覧の許可。またはプリンタの印刷ログの監視など。早朝や残業時間や休日などに大量の印刷がある場合など。)

画像3

2,監査ログの強化
・機密情報のアクセス時はログ収集と監視が行われていることを、一般社員に周知させること。

3,権限管理の強化
・退職者のついては速やかにアクセス権限を削除すること。

システム管理者向け対策の内部不正対策

1,情報持ち出し禁止
・一般社員と同様の対策となるが、システム管理者はこれらの対策をすり抜ける権限を持っていることも多い。従って次の2と3が特に重要となる。

2,監査ログの強化
・とにかく機密情報へのアクセスや、権限変更やセキュリティポリシーの変更などの操作ログは自分たちでは削除出来ないことが最も効果的な対策と言える。

画像4

3,権限管理の強化
・システムを管理する人間(機密情報に直接アクセス出来る役割)と、セキュリティポリシーを管理する人間(セキュリティポリシーやログを運用する役割)を別の人間別の権限とするように分業化とすること。

画像5

まとめ

・内部不正実行者の半数はシステム管理者であった。
・システム管理者を対象にした漏洩防止は、監査ログ強化が効果的である。またこの対策は、社内に侵入出来たマルウェアの対策としても有効である。


この記事が気に入ったらサポートをしてみませんか?