内部犯行対策、四つの新常識

2014年7月に発覚し、日本中を震撼させたベネッセによる大規模な個人情報漏洩事件。流出件数の多さもさることながら、業務委託先社員による「内部犯行」であったことが大きな話題となった。多くの企業が対策に取り組んでいるにもかかわらず、こうした内部犯行による事件は減る気配を見せない。従来の常識に基づく対策のどこかに問題があることは明白だ。既存対策の問題点を整理し、今の時代の「新常識」に合った対策を紹介しよう。

　「約3504万件、約4858万人」という膨大な数の個人情報が漏洩したベネッセ事件をはじめ、2014年に入って内部犯行による事件が相次いでいる。横浜銀行では盗まれた口座情報からキャッシュカードが偽造され、国立国会図書館では、のぞき見られた内部情報によって結果的に入札業務が妨害された。いずれも一般社員による「うっかりミス」などではなく、システム管理や運用を任されている人間が、明確な意図を持って情報を不正に入手し、悪用していた。

　こうした報道を見聞きし、「わが社は大丈夫か」と不安を募らせたり対策に追われたりしている企業ユーザーは多いだろう。セキュリティベンダーに尋ねてみても、「ベネッセ事件後、内部犯行防止や情報漏洩対策に関する相談やセミナーへの参加申し込みが急増している」と各社は口をそろえる。

従来の常識が通用しない

　漏洩事件を起こした企業は対策をしていなかったわけではない。多くのケースで「セキュリティポリシーや業務規則で従業員の行動を制限する」「教育を実施して意識を高める」「アクセスログを記録し監査する」「USBメモリーの利用に制限をかける」といった基本的な対策を実施していた。

　ただ、例えばベネッセ事件の場合、PCでのUSBメモリーの利用には制限をかけていたものの、スマートフォンとの間で画像などを転送する別の仕組みである「MTP（Media Transfer Protocol）」を制限していなかったことが内部犯行を招いた。

　この件でベネッセに欠けていたのは「情報の流出経路は増え続ける」という“新常識”だった（後述）。これを押さえていれば、「流出経路に漏れがないか」というチェックを定期的に行うことで、スマートフォン経由での情報流出を防げた可能性が高い。

　ITの技術革新は日進月歩で進んでおり、企業を取り巻く社会的状況も変化し続けている。情報漏洩を防ぎたい企業には、そうした変化によって次々と生まれる新常識をいち早く押さえ、対策の実効性を保ち続けることが求められる。セキュリティベンダーや専門家、ユーザー企業の取材を通じて浮かび上がってきた新常識を紹介しよう。

新常識1：ログを「事前対策」に使う

　サーバーのアクセスログやデータベースの操作ログなど各種ログを記録し、必要に応じて監査することで内部犯行の有無を調べる――。内部犯行の「事後対策」として、ログの記録や監査が重要であることは昔も今も変わらない。犯行の証拠を示したり、逆に潔白を証明したりするためにもログは必要不可欠である。

　ただ最近は、事後対策の有効性が限界を迎えつつある。ギガバイトやテラバイト単位の巨大なデータを短時間で持ち出せる今の時代、データが盗まれたことを事後にログから見つけたとしても「後の祭り」となっている可能性が高いからだ。

　事後対策が難しいならば、事前対策によって内部犯行を防ぐしかない。悪事を働こうという気をくじく「抑止力」を強化することで、内部犯行を極力起こさせないようにする。ログに関しても、事後対策としてだけではなく、事前対策として活用するのだ。

頻繁に監査して抑止力に

　例えば数カ月に1回といった頻度で監査を実施するのでは、ログは内部犯行の痕跡を探す証拠としてしか役に立たない。

　しかし、週次や日次といったもっと短い間隔で監査を実施すれば、抑止力を強化するための武器としてログを活用できる。「こういうログを取っていて、このくらいの頻度で確実に見ている」と周知することで、内部犯行を企てる者に「不審な行動をしたら確実に見つかる」とプレッシャーを与えられる（図1）。

　情報処理推進機構（IPA）が2012年に実施したアンケート調査でも、この監視と周知の重要性を裏付ける結果が出ている（表1）。「社員が内部犯行に有効と考える対策」として最も多かったのは「操作の証拠（ログ）を残すこと」で、「アクセスを監視すること」が続いた。

　ログを活用した監視では、監査の間隔を短くするほど抑止効果が期待できる。半面、監査間隔が短くなるほど監査を実施する人間の負担は重くなる。このため、企業や対象システムごとに最適な間隔を探る必要がある。

新常識2：「プロ」相手にツールで戦う

　監視による抑止力強化に取り組む際に押さえておきたいのは、内部犯行を企てる相手は「プロ」であるということ。多くの場合、内部犯行者はシステム管理者だ。セキュリティベンダーであるネットエージェントの杉浦隆幸社長は、「“監視をしているフリ”などは当然通用しないし、隠ぺい工作や誰かに罪を押し付けるログの改ざん行為などの可能性についても考慮しなければならない」とアドバイスする。

　このため、抑止力の強化をログだけに頼るのは危ない。プロを相手にする以上、対策には相応のコストをかけるべきだ。抑止力を高めるために、ログの活用に加えて内部犯行のリアルタイム監視目的に使える商用ツールの導入を検討することをお勧めしたい（図2）。

　ログは本来記録を残すためのものであり、可読性が低く、行動をリアルタイムに監視する目的には向いていない。専用の監視ツールなら、リアルタイムに細かく監視できることに加え、不審な行動に対してアラートを出したりデータを盗み出す行為を止めたりすることもできる。

　監視ツールは、（1）クライアントPC上のユーザー操作やUSBメモリーなどのデバイス利用を監視・制御する「クライアント監視型ツール」、（2）社内ネットワークを流れるデータをパケット単位で監視する「ネットワーク監視型ツール」、（3）対象サーバー上などで特定のファイルや重要なデータの操作、やり取りを監視する「データ操作監視型ツール」――と大きく3タイプに分けられる。

「振る舞い」を監視するツールもある

　日本セキュリティマネジメント学会の萩原栄幸常任理事は、上記3タイプの他に「振る舞い監視」ツールの導入を勧める。「例えば、社員の休日出勤や深夜残業が急に増え、普段アクセスしないデータをいくつも照会していたら、内部犯行を企てている可能性がある。一つひとつの行為は正当でも、ツールを使って全体を見ると内部犯行やその準備段階であることを見抜ける」（萩原氏）。米国では、既にこうした振る舞い監視ツールの導入が進んでいるという。

　監視ツールの導入コストは、例えば社員1000人規模の会社の場合で数百万円程度かかるのが一般的だ。決して安くはないが、業務で大量の個人情報を扱う企業なら、こうしたコスト負担を惜しむべきではない。「これからの時代、対策に十分なコストをかけられない企業は、個人情報を扱うべきではない」（ラックの最高技術責任者を務める西本逸郎取締役）。

新常識3：新しい流出経路を塞ぐ

　ひと昔前までは、情報の流出経路といえばUSBメモリーやCD-Rといった物理メディアか電子メールが大部分を占めていた。しかし、現在ではスマートフォンなどの携帯機器やクラウドストレージなど新しい経路から情報が流出するケースが増えている（図3）。

　データを送信する際に使われる回線の種類も、勝手に設置した無線LANアクセスポイントやLTE/3G回線を使うモバイルルーター、スマートフォンのテザリング機能など多様化する一方だ。こうした状況を理解し、毎年のように増え続ける流出経路を漏れなく押さえる。これが三つめの新常識である。

　そのために必要なのは、ITの新技術や新製品、新サービスなどの動向を常にキャッチアップすること。最新のセキュリティ情報に目を配りながら自社の対策を定期的に見直し続けることも重要だ。

情報の流出経路を絞る

　大日本印刷のように、情報の流出経路を絞り込むことでリスクを極限まで減らすアプローチもある（図4）。同社では2007年、内部犯行により863万件を超える個人情報が流出する事件が発覚。この事件の反省を踏まえ、徹底した物理メディアの持ち出し制限により、リスクを減らす対策を打ち出した。「個人情報を物理メディアに書き出せる担当者を数人に限定し、物理メディアを取り扱うエリアを他のエリアと完全に分離した」（大日本印刷 DNPグループ情報 セキュリティ委員会情報セキュリティ本部の池田健本部長）。

　物理対策として、入退室ゲートの設置や金属探知機によるチェック、生体認証、物理メディア制限端末の導入など何重もの制限をかける。さらに、ネットワークなども完全に独立させるという徹底ぶりだ。これほどの大掛かりな対策を実践するにはコストがかかるため、簡単には真似できない。だが、情報漏洩対策を徹底したい企業ならぜひ参考にするべきだ。

新常識4：「人の心」に働きかける

　「コンサルティングや監査の際に内部犯行対策について質問すると、ほとんどの企業が『しっかりと体制を作って取り組んでいる』という答えを返してくる。しかし、実際に調べてみると実はできていないケースが意外と多い」（デトロイト トーマツ リスクサービスの白濱直哉シニアマネジャー）。特に不十分とされるのが「人対策」であるという。

　内部犯行対策は、ツールの導入など技術的な仕組み作りをいくら徹底しても完全とは言えない。大切なデータを守るのも盗み出すのも人間である。守る側にいる人間の意識を高め、盗み出す側に回る人間を減らす――。そうした人の心に働きかける「人対策」も併せて実施する必要がある。そうした人対策の中心となるのは「周知」と「教育」だ。

　「新常識1」でも触れたように、周知については、必ず監視とセットで考える必要がある。「監視の目があるということをユーザーが強く自覚して初めて抑止につながる」（トレンドマイクロ ビジネスマーケティング本部 ソリューションマーケティング部の大田原忠雄部長）からだ。どんなに優れた監視の仕組みを作っても、ただ監視するだけでは抑止力は得られない。ユーザーに対していかに周知を徹底できるか。これが鍵を握る。

　例えば、ツールなどで監視していることを従業員に知らせるだけでは効果は小さい。不審な行動を検知したら、その当事者だけではなく社内全体に周知したり、不審な行動の発生件数などを定期的に公表したりすると効果が上がるだろう。ブラフ（はったり）ではなく、本当に監視していることを知らせることが何よりも重要だ。

　教育に関しては、より人の心に働きかけるような工夫が必要だ（図5）。まず考えるべきは、教育により極力「悪」に転ばせないこと。「人は何かのきっかけで犯罪に手を染める可能性がある『弱い存在』であるという前提に立って対策するべきだ」（シマンテック セールスエンジニアリング本部 セキュリティ製品技術部の七戸駿テクニカルマーケティングアナリスト）。

経営層も含めた全員が参加する

　教育方法自体にも工夫が求められる。一般的な「教材を使った学習と修了テスト」では思うような成果が得にくい。必要なのは、情報を漏洩させることは犯罪であり、企業に致命的な損害を与えることを認識させるような徹底した教育である。

　例えば、監視ツールを導入している企業では、避難訓練のように実施日と内容を予告したうえで、無作為に選んだ複数の社員に対して「不審な行動を発見しました」といったアラートを上げる「疑似体験」を行うことがお勧めだ。

　そのほか、情報漏洩が犯罪であることを毎日唱和したり、職場の至る所に啓蒙のポスターを貼ったりすることなども有効である（別掲記事）。

　また、内部犯行を防ぐための教育には、一部の社員にだけ押し付けるのではなく、経営層も含めた全員が参加することが欠かせない。例外を作ってはならない。IPAがWebサイト（http://www.ipa.go.jp/security/fy24/reports/insider/）で無償配布している「内部不正チェックシート」は、そうした全社を挙げての取り組みに役立つ。

　同シートを使うことで、経営層から一般の従業員まで、内部犯行対策に関わる全員が自分の役割を確認できる。「ベネッセ事件を受け、『自社の体制を点検したいが何から着手したらいいか分からない』という声をよく聞く。まずはこのチェックシートを使って再点検することをお勧めする（IPA 技術本部 セキュリティセンター 情報セキュリティ分析ラボラトリーの小松文子ラボラトリー長）。

　教育への全員参加やチェックシートを使った再点検は、「人対策」の見落としを防ぐことに効果がある。ぜひ実践してほしい。