企業がマイナンバーを守るにあたって気をつけなければいけないのは外部からの攻撃だけではありません。内部の職員による不正な情報漏洩も警戒してしかるべきでしょう。内部の不正を防止するのに有効なのはログの取得と監視です。ログの監視を効率的に行えるISM CloudOneについて見ていきましょう。
情報漏洩は外部からのサイバー攻撃だけではない!内部不正も要警戒!
via img.lancers.jp
近年、企業やその他の組織において、内部不正による情報セキュリティ事故が原因で事業 の根幹を脅かすようなケースが目立つようになってきました。その典型例としては、社員や 職員等によって顧客情報が不正に売られたことによる個人情報の大量漏えいや、製品情報が 退職の際に不正に持ち出されたことによる技術情報の漏えい等が挙げられます。他にも、悪 意はないにしても、自宅で業務を行うために社内情報を無断で持ち出し、自宅 PC から漏え いさせてしまう例も見られます。これら内部不正に関わる情報セキュリティ事故が毎年変わ らず発生していることは、広く報道されています。
情報漏洩対策にあたって外部からのサイバー攻撃にばかり注意が行きがちですが、内部不正も要注意です。外部からの攻撃に対して発生件数は少ないものの、一度の漏洩で与えられるダメージは内部不正の方が大きくなります。また社員がPCや資料を持ち帰るなどして、知らないうちに情報が洩れていたという事もあります。ですので、徹底的な社員の教育が必要です。
内部不正の例
家電量販大手のエディオンの営業秘密データを、競合する上新電機に転職した元社員が不正に取得したとされる事件で、大阪府警は法人の上新電機を不正競争防止法違反容疑で書類送検する方針を固めた。経済産業省によると、営業秘密を巡って法人の刑事責任が問われるのは極めて異例だ。
送検容疑は、エディオンから上新に転職し、リフォーム事業の担当部長を務めた笹沢淳被告(53)=懲戒解雇、同法違反罪で公判中=が昨年1月、エディオンの共用パソコンを遠隔操作し、販売戦略に関する営業秘密データ4件を上新のパソコンに転送し、うち1件を印字して別の部長に渡したという内容。データには広告の掲載時期などが含まれていた。
犯行動機は組織や上司への不満が多い!
via mangatop.info
不正行為者は、一般社員 が 52.6%と最も多く、次いでシステム管理者と開発者が 15.8%、その他が 10.5%である。また、対象は顧客情 報が 52.6%と最も多く、動機は組織・上司への不満が 42.1%、金銭が 31.6%であり、監視性は高いが 73.7% である。
via freestances.com
内部不正を防ぐには?PCのログを取得しよう
via illustcut.com
この身勝手とも言える論理への対抗策として、クライアントPCの操作ログを取得することは重要になってくる。ただログを取得しておけば良いというものではない。悪意がある・ないに関わらず情報漏えいに繋がる操作を社員が行った場合に、即座に気づき是正措置を取らなければ、せっかくログを取得していても宝の持ち腐れになってしまう。しかし社員全員のログは1日だけでも膨大な量になり、それを管理部門が全てを目視で確認するのは非現実的だと言わざるを得ない。誰かが危険な操作を行った場合に、管理者が即座に気づける仕組みが必要なのだ。
ログの取得はガイドラインにおいても手法として例示されています!
c 外部からの不正アクセス等の防止
情報システムを外部からの不正アクセス又は不正ソフトウェアから保 護する仕組みを導入し、適切に運用する。
≪手法の例示≫
* 情報システムと外部ネットワークとの接続箇所に、ファイアウォール等を設 置し、不正アクセスを遮断する。
* 情報システム及び機器にセキュリティ対策ソフトウェア等(ウイルス対策ソ フトウェア等)を導入する。
* 導入したセキュリティ対策ソフトウェア等により、入出力データにおける不 正ソフトウェアの有無を確認する。
* 機器やソフトウェア等に標準装備されている自動更新機能等の活用により、 ソフトウェア等を最新状態とする。
* ログ等の分析を定期的に行い、不正アクセス等を検知する。
ガイドラインにおいては外部からの不正アクセス等の防止対策として示されていますが、内部による犯行対策としてもログを取得することは有効です。ログによって不正行為を防ぐにはあらかじめ特定の行為に対してアラートなどを設定しておくことで不正行為に即座に対処できる体制を構築する必要があります。