デロイトトーマツサイバーセキュリティ先端研究所
所長
丸山 満彦 氏
デロイト トーマツサイバーセキュリティ先端研究所(以下、DT-ARLCS)は8日、内部不正対策に関する報道向け勉強会を開催した。
DT-ARLCS所長の丸山満彦氏は冒頭、「内部不正」という言葉の定義の難しさについて説明。今回の勉強会では、適切な権限を持つ人が行う不正、すなわち通常のアクセスコントロール対策では防げない対策のことであると前置きした。そのうえで、「何かを徹底するといった(人的な)対策ではなく、不正をどうやってロジカルに守るかということをポイントに解説する」(丸山氏)とした。
続いて登壇した白濱直哉主任研究員は、内部不正の発生状況と被害について、米CERTの調査結果を解説。サイバー犯罪の犯行者は外部からの不正アクセスが28%を占め、実際に与える影響は46%にのぼり、影響が大きいことを説明した。
白濱氏自身も内部不正対策に携わっているが、「年間5〜10件に携わるうち、外部公開されるのは1〜2件に過ぎない」(白濱氏)という。社内規程違反であれば公開の義務はなく、公開される割合は非常に少なくなっているのがその背景だ。
ではなぜ内部不正が行われるのか。その理由は「不正のトライアングル」の3つの要素で説明ができる。
それぞれ、内部統制の不備・形骸化や権限管理のずさんさといった不正が行える環境にあるかどうかの「機会」、個人的な経済問題など不正を働くきっかけとなる「動機」、会社が悪い・お金は返すつもりなど不正の「正当化」である。
(クリックで拡大)
(出典:DT-ARLCS資料)
さらに、内部不正対策を行おうとすると、それを阻害する組織側の認識の甘さもあると白濱氏は指摘する。たとえば、「うちの会社に不正を行う職員なんていない」という認識が挙げられる。実際に不正を起こした組織でさえ、社員は反省しているので大丈夫、といったことを担当者から言われたこともあるといい、こうした場合は「会社の風土から変えないとよくならない」とした。
2つめは、漏えいして困る情報はないという認識だ。しかし、「何らかの組織として活動をしていれば、必ず何かしら価値のある情報がある」(白濱氏)。3つ目は、対策は万全であるという認識。「標的型攻撃は、内部の権限を乗っ取って攻撃をするので発見が難しい。内部不正も同じで、その行動が不正なのかを見極めるのが難しい」(白濱氏)という。
こうした組織の内部不正に対する「認識の甘さ」がないかをチェックするために、白濱氏は以下の10のチェックリストを提示した。
(クリックで拡大)
(出典:DT-ARLCS資料)
「個人情報保護法などがあって、責任者は決まっているが、その責任が認識されている人が非常に少ないという印象。また3、4、5はできていない企業が多い」(白濱氏)とした。
【次ページ】内部不正対策の最新手法とは?