露見しにくい内部関係者の犯行、未だに気付いていない企業はたくさんあるのでは

 顧客の個人情報や特許技術が含まれた設計情報など、企業には貴重な情報資産が数多く存在している。これら貴重な情報を流出させないために、企業は様々なセキュリティ対策へ投資を行い、ある一定の効果を上げてきた。

 しかし、情報漏洩対策に有効なセキュリティ対策を十分に実装している企業であっても、情報流出を完全に防ぐことはできない。その最たる例が、過去最大級となる2300万件を超える個人情報が流出したとされる通信教育大手による情報漏洩事件だ。この事件は、その企業にだけ提供したはずの個人情報が第三者を経由して別の事業者の手に渡り、その情報を元にダイレクトメールが顧客に送りつけられたことで発覚した。情報漏洩の可能性に気付いた顧客からの問い合わせが頻発したことで社内調査が行われ、結果として個人情報の流出が明らかになったのだ。

 この事件で注目すべきポイントについて、マクニカネットワークス株式会社 ネットワーク第1事業部 プロダクト第1営業部 第2課の伊藤 章浩氏は「1つは情報漏洩した個人情報件数の多さ、そしてもう1つが内部関係者による犯行だという点です」と分析する。これまで多くの企業が投資してきたのは、外部からの不正アクセスや標的型攻撃などへの対策が中心であり、悪意のある犯罪者はあくまで“外部にいる”という前提だった。しかし、今回の事件は外部からの脅威ほど十分な対策が行われていない内部関係者による犯行だったため、被害件数が膨れ上がってしまった可能性は否定できない。「今回の事件は一例であり、実は内部関係者による情報の持ち出し被害は少なくないのではないか」と伊藤氏は仮説を立てる。今回の事件でも明らかなように、事件が発覚したのは顧客からの指摘がきっかけであり、内部関係者による犯罪はなかなか露見しにくいという現実があるからだ。

 ここで、ベライゾンジャパン合同会社が公表している「2013年度データ漏洩/侵害調査報告書」を見てみよう。この報告書では、データの漏洩/侵害については69%が第三者によって発見されており、66%がその発見までに数ヶ月を要しているというデータが公開されている。つまり、今現在でも情報漏洩した事実に“気付いていない”企業はまだたくさんあるのではないかと伊藤氏は見ている。なお、この事件を受けて、経済産業省から日本商工会議所をはじめ複数の経済団体に対して「個人情報保護法等の遵守に関する周知徹底についての要請」が2014年8月18日に公表された。今回の情報漏洩事件が社会に与えるインパクトの大きさを物語っていると言えるだろう。

ログ管理では限界も、内部からの脅威には“DBセキュリティ”が有効な対策に

 結果として、派遣社員のシステムエンジニアによる犯行だった今回の事件。その背景には、多重下請けなど構造的な問題が影響している可能性は否定できないものの、本質的には“内部の人間は悪さをしない”という性善説に基づくセキュリティ対策の限界が露呈した事件と言えるだろう。このような情報漏洩は、個人情報を大量に扱う情報サービス業のみならず、設計データなど貴重な知的財産を数多く保有する製造業であっても同様のリスクをはらんでいる。それゆえ、内部関係者による情報漏洩は、企業の存続を脅かす大きな脅威として再認識すべきだと伊藤氏は言及する。なお、今回の事件ではCIOを含めて責任部署に関係した2人の取締役が引責辞任する事態にまで発展しているが、これは決して対岸の火事ではないことを改めて認識しておきたい。

 これまで多くの企業が様々な対策を行ってきたにも関わらず、情報漏洩が防げないのは一体どこに原因があるのだろうか。その原因について伊藤氏は「リスクがさほど顕在化していないことで十分な対策を実施しておらず、内部からの脅威に対する認識が徹底されていないことが原因の1つ」と指摘する。ただし、内部からの脅威に対してまったく対処していないわけではない。これまで内部からの脅威に立ち向かう対策の中心にあったのが“ログ管理”だ。「ただし、多くの企業が取り組んでいるログ管理は、日本版SOX法に関連した内部統制による要求から実施されたもので、あくまで監査の際に情報を後追いするための仕組みです。何かセキュリティインシデントが起こったときにアラートが上がり、その情報を元に情報流出を防ぐという性質のものではありません」と伊藤氏。今回の事件でも、不正アクセスの経路やその手段などが内部調査を行う過程でいち早く明らかになったのは、ログ自体がしっかり管理されていたからこそだと考えられる。ただ、ログ管理だけでは内部からの脅威に対抗することができないのが実情だ。

 では一体どんな対策が必要なのだろうか。伊藤氏は「個人情報や設計情報など、企業が最も守らなければならない情報が格納されているデータベース(以下、DB)を詳細に監視し、“DBから抜かれる瞬間を捕える”ことが必要だと考えています」と力説する。もちろん、その“兆候”を検知するだけでは情報漏洩を防ぐことはできない。不正アクセスに対して即時に認識できるようにアラートを上げ、その情報を元に通信を遮断するといった不正アクセスをブロックする具体的な手立てが何よりも必要になってくると伊藤氏。これまでのログ管理から、情報漏洩を未然に防ぐ “DBセキュリティ”という対策が必要だと説いている。

マネージメント層の積極的な関与が何よりも重要

 今回の事件を受けて、改めてログ管理の重要性を訴えるベンダもあれば、内部統制に関わる監査用の領域だけでなく、その取得範囲を広げてログ管理をこれまで以上に徹底すべきだと主張するベンダもある。ログ管理の徹底はもちろん重要ではあるものの、従来型のログ管理の延長では内部からの脅威に対抗するのは難しく、情報漏洩を未然に防ぐという点では不十分なものも多いと伊藤氏は懸念する。「正規の権限を持っている人が犯行を行う場合、従来のログ管理ではその行為が内部犯行かどうかの判断ができません。必要なのは、DBに対する不審な挙動に気付き、必要に応じて情報漏洩を防ぐ “DBセキュリティ”の仕組みなのです」。このDBセキュリティを実現するのが、DBのパフォーマンスを維持したままDBからの情報漏洩を検知、防御できるDBセキュリティ「Imperva SecureSphere」だ。

 ここで重要な役割を果たすのが、マネージメント層の積極的な関与だ。顧客への最適なサービスを提供するために用意されたDBは、快適なレスポンスが要求され、さらに業務の停止が許されないミッションクリティカルな仕組みで動いていることが多い。それゆえ、監査のためにはやむを得ないと考えているものの、DBに何か新たな仕組みを付加することに対して現場が積極的になることは難しいのが正直なところだろう。だからこそ、このような手段も視野に内部からの脅威に打ち勝つためにはどうしたらいいのか、トップダウンによってマネージメント層から積極的に働きかけていくことが何よりも重要になってくる。

 最後に伊藤氏は、「正規にアクセス権を持ったユーザからの情報漏洩は、外部からの攻撃に比べると1回あたりの被害件数は格段に多くなる傾向にあります。だからこそ、後から情報漏洩したことがわかる仕組みではなく、情報が漏洩したその瞬間にブロックできる仕組み作りが大切です。これまで検討されることが少なかったセキュリティ対策だからこそ、既存対策との違いやその具体的な動きがイメージできない方もいらっしゃるはず。いつでも気軽にご相談ください」と締めくくった。

内部脅威による情報漏洩対策を考えるマネージメント層向けのセミナーを実施予定。詳細はマクニカネットワークスHPへ。
  • 露見しにくい内部関係者の犯行、未だに気付いていない企業はたくさんあるのでは
  • ログ管理では限界も、内部からの脅威には“DBセキュリティ”が有効な対策に
  • マネージメント層の積極的な関与が何よりも重要

内部脅威による情報漏洩対策を考えるマネージメント層向けのセミナーを実施予定。詳細はマクニカネットワークスHPへ。