内部不正を許さない：ログから不正行為を検知・予防

2014年の大手教育企業による大規模情報漏洩は、「内部関係者による情報漏洩」というセキュリティ対策の弱点を突かれたことで、重大な被害につながることとなりました。

そこで今回は、内部不正を防ぐためのセキュリティ重点対策として、内部不正防止のポイントと、対策としての「ログ監視」を考えてみます。

内部不正のパターンと対策

内部不正や内部不正に近い、規範を逸した内部関係者の行動をどう把握すればよいでしょうか。

過去の内部関係者による情報漏えい事件を見ると、意図的な情報流出は、委託先・提携先企業からの流出、退職者からなどが多く、目的は、換金目的、転職先での仕事への利用、就職を有利にするため、などで行われています。

これには機密情報へのアクセス権限が適正に管理されていないこと、あるいは契約やパートナー企業の管理に不備があることがうかがわれます。

流出手段としては、紙の持ち出しによるものが多いものの、インターネット、オンラインストレージなどが利用されると、インシデントの件数は多くなくても、1件あたりの情報流出件数が大規模なものとなってしまいます。

このような不正行為の発見や予防に、ITツールだけで対応するのには無理があります。
組織体制や労働環境、人事評価システム、契約条件、その他さまざまな面で、できる対策はすべてとらなければなりません。

内部不正防止の5原則

内部不正防止の基本原則として、IPAの「組織における内部不正防止ガイドライン」は次の5点を挙げています。

【内部不正防止の基本5原則】
・犯行を難しくする（やりにくくする）：対策を強化することで犯罪行為を難しくする。
・捕まるリスクを高める（やると見つかる）：管理や監視を強化することで捕まるリスクを高める。
・犯行の見返りを減らす（割に合わない）：標的を隠したり、排除したり、利益を得にくくする
ことで犯行を防ぐ。
・犯行の誘因を減らす（その気にさせない）：犯罪を行う気持ちにさせないことで犯行を抑止する。
・犯罪の弁明をさせない（言い訳させない）：犯行者による自らの行為の正当化理由を排除する。

内部不正防止のための有効な対策は？

CSIRTの構築と適切な運用

基本原則を具体的に実現するためのリスクや脅威の把握や、対応のためには、少なくとも情報収集や対応を実施する窓口となる担当者が決まっていなければなりません。

そこで現在では、大企業を中心に、社内にCSIRTを構築し、何か事が起きたら迅速に対応できる体制づくりが進んでいます。

CSIRTは同時にセキュリティ向上のための監査や教育なども行う組織で、運用を続ける中でセキュリティ対応やインシデント再発防止のためのノウハウを蓄積していくことができます。

CSIRTの対応のベースになるのは、まずは、セキュリティにまつわる各種ログの取得と保管とシステムの日常的なログ監視であり、インシデントを検知したら、保管されたログを分析することで何が起きたかを把握し必要な対策を行えるしくみです。

また、システムの利用履歴がほぼすべて記録され、ログ監視されていることを知らしめることで、内部不正の抑止につながることも期待できます。

統合ログ管理ツールとSIEMツール

ログ監視の過程で、不正行為や攻撃に関わるログをスクリーニングし、分析・検討・対応が必要なログを抽出し、システムで何が行われているかを可視化する必要がありますが、すべてのログ監視をIT部門が常時確認するのは事実上不可能といえるでしょう。

そのために利用されるITツールが「統合ログ監視ツール」と「SIEMツール」です。

簡単に言えば、各種ログを比較的長期間蓄積し、必要なつど、検索・分析してフォレンジックを行うのが「統合ログ監視ツール」、設定された不正や攻撃シナリオをもとに、リスクの高い行動が検知されたらリアルタイムにアラート発報や自動処理（ネットワークの接続断など）が行なえるようにするのが「SIEMツール」の役割です。

SIEMツールとそれを利用したマネージドサービスは、ログ監視対象データのログの絞り込みをして、最終的に企業が対応すべきリスクの高いケースだけを割り出してユーザー企業に連絡するという仕組みになっています。

統合ログ監視ツールやSIEMツールは、セキュリティ機器単体では発見できない不正行為やマルウェアの活動などを発見できるので、ログ監視体制構築の際に利用を検討してみてはいかかでしょうか。