リスク・フォーカスレポート
1.不正にかかる意識調査
独立行政法人情報処理推進機構(IPA)技術本部セキュリティセンターは、7月17日付けで「組織内部者の不正行為によるインシデント調査」の報告書を公表した。
この報告書は、国内の一般企業の3,000名の社員と110名の経営層やシステム管理者に対して、内部不正に関する意識調査を行ったものである。
「内部不正の気持ちを低めると考えられるもの」の設問には、社員の回答は「社内システムの操作の証拠が残る(54.2%)「顧客情報などの重要な情報にアクセスした人が監視される(37.5%)」が上位を占めた。一方で、経営者やシステム管理者の回答は「開発物や顧客情報などの重要情報は特定の職員のみアクセスできる(20.9%)」「システムの管理者以外に、情報システムへのアクセス管理が操作できない(12.7%)」が上位を占めている。
情報システム運用にかかる内部不正抑止のために有効と考える対策において管理される側(従業員)と管理する側(経営者・システム管理者)では、内部不正に対する観点の違いが見られる。従業員は、ログが残るという行為の痕跡に対して脅威を感じているにも関わらず、経営者・システム管理者は、アクセスさせないというアクセス制御という水際防衛を意図していることが分かる。
2.情報システム運用にかかる内部不正抑止策の有効性の検証
本調査結果から判断すると、経営者等が講じているアクセスを制限の方策は、内部不正への抑止力になっていない可能性がある。
不正は発生のメカニズムとしては、「不正の機会」、「不正の動機」「不正の正当化事由」に着目した不正トライアングル理論が有名であるが、上記調査結果を、このトライアングルの各要素に対する対策として当てはめた場合、従業員(システム利用者)は「内部不正の気持ち(動機)を低める」対策を脅威に感じている一方で、経営陣・システム管理者は、「アクセスさせない(不正の機会を作らない)対策が脅威になると考えているものと分析できる。
それでは、この仮説をベースに、情報システム運用にかかる内部不正抑止策について考えてみよう。なお、今回は情報システムを例にとって検証を行うが、この検証は、不正トライアングル理論に基づく内部不正抑止策として、「不正の動機」に着目すべきか、「不正の機会」に着目すべきかという視点で捉えると、広く内部不正対策全般に対しても普遍性を有する可能性がある。
内部不正を抑止する目的は、内部不正によるロスの極小化(内部不正を実行できる機会の減少、動機の抑制、万が一の際の経済的損失等の損害の極小化)にある。とすれば、検証のための事例としてまず考えなければいけないのは、内部不正によるロス、すなわち、企業にとっての損害が大きいケースについての対策である。この点、過去の個人情報漏えいの等に関するインシデント報告等を見ても、内部不正にかかる情報漏洩で被害の大きいケースは、正当なアクセス権限を持つ人物が正当な作業手順で、不当にデータ収集・持ち出しを故意に行ったというケースである。
ここで注目すべきは、「正当なアクセス権限を持つ者」による「故意」の行動である点である。正当なアクセス権限を有する以上、そもそもアクセス制御と言うシステム管理者側の内部不正対策は、全く抑止力として機能していないことが分かる。したがって、対策として考えた場合、社内システムの操作ログが残る環境を構築することで、不正の兆候としての故意の行動の痕跡というミドルクライシスを早期に発見して被害を最小限に食い止める、あるいは、ログ解析により内部不正痕跡が残り自分が処分される等の不利益を受けたくないという形で行為者の不正の動機を低減させる、という対策を行わざるを得ないことを意味している。
もっとも、退職予定者等の不利益処分の抑止力が働かない行為者にとっては、このログ取得の対策も一定の限界があることは確かであるが、それとて、不正競争防止法等での刑事的対処も可能であることから、アクセス制限のように対策として全く抑止力がないということはない点でも、ログ取得(不正の痕跡を残させる)という不正予防策、言い換えれば不正の動機を低減させる対策は有効であると言えるであろう。
なお、不正の痕跡を残させるという観点からは、
①ログ監視ツールの導入や運用方法の改定、ファイルの暗号化などを実施する
②アクセス権限者等の内部者がこのような対策を意図的に回避して行う不正をシステムによって完全に防ぐことは不可能であることを認識する(内部統制、情報システムとの関係でいればIT統制の限界論の議論)
③情報システムのみではなく痕跡を残したり、端緒を発見しやすい対策、例えば、監視カメラ、入退室管理システム、管理者同士の相互監視、上司・役員による監視等の二重、三重の対策を実施して、不正に対するけん制機能・抑止力を強化する
等を実施して、内部関係者がデータ等を不正に操作したという不正の事実が、確実に分かる体制の構築が重要になる。
また、ISO27001では、ユーザー操作履歴や各種セキュリティ事象を記録した監査ログの取得と保存、情報システムの設備の使用状況の監視、アクセス制御方針の確立、ユーザーの登録や登録削除についての手順、パスワードの割当てに関する管理プロセス、ユーザーのアクセス権の見直し、パスワードの選択および利用時のユーザーへの要求事項など、アクセス管理について等、アクセス制限とログの取得両面からの対策を定義していることを付記しておく。
3.情報システム運用における特権アカウントの管理
内部不正の抑止という観点から、情報漏洩防止や内部不正防止をはじめとする技術的セキュリティ対策、および内部統制におけるIT全般の統制についての対策を検討した場合、いわゆる特権IDの管理が重要になる。
特権IDとは、システム設定の変更、ユーザーアカウントの新規作成や更新・抹消、アプリケーションのインストール、ファイル内容の閲覧などを唯一おこなえる特別な権限を持つIDである。具体的には、UNIXやLinuxなら「root」、Windowsなら「administrator」といったIDで、サーバOS、ネットワーク機器OS、データベースなどであらゆる操作が可能になる。
この特権IDが悪用されると、サーバOS、ネットワーク機器OS、データベースなどであらゆる操作が可能である以上、システム設定の不正変更やマルウェア等の不正情報取得ツールのインストール、そして機密情報へのアクセスや持ち出しまであらゆる形態の不正行為が可能になるのである。コンピューターウイルスや不正アクセスにより、リモートコントロールや特権ID情報の取得を行おうとするハッカーたちの狙いも正にここにある。
このように、内部不正によって情報漏洩を引き起こされる要因の1つとして、この情報システム管理用の特権IDの管理が不十分であることが挙げられる。
情報システムの運用で高い操作権限を持つ特権IDによる事故、不正は企業内の情報を全て握られ、コントロールされることを意味しており、極めて重大なリスクである。情報セキュリティマネジメントの国際標準であるISO27001/ISMSの要求事項でも、「特権の割当及び利用は、制限し、管理しなければならない」、「すべての従業員、契約相手及び第三者の利用者の情報及び情報処理施設に対するアクセス権は、雇用、契約又は合意の終了時に削除し、また、変更に合わせて修正しなければならない」としている。
見方を変えれば、特権IDの管理体制は、当該企業の内部統制(システム管理体制、顧客保護等管理体制)や危機管理体制の実効性が問われる問題であるといえることから、経営者としては、情報システム担当者に全てを一任することなく、適宜、その状況等を把握しながら人事ローテーション等により、特権ID利用による不正を抑止していくように努めなければならない。
内部不正対策としては、システムを利用する立場の従業員による不正ばかりに眼が行きがちだが、システムを管理する立場の従業員(あるいは役員)による不正のリスクは、企業存続そのものを揺るがしかねない重大な経営課題であることを改めて認識していただくことが重要である。
なお、金融情報システムセンター(FISC)の「金融機関等コンピュータシステムの安全対策基準・解説書」やPCIDSS(Payment Card Industry Data Security Standard)など、金融業界の各ガイドラインでも特権IDの管理が明記されており、アカウント管理の不備は金融庁検査の指摘事項ともなりうる。
| 各種資源、システムのアクセス権限を明確にすること |
| パスワードが他人に知られないための措置を講じておくこと。 |
| 各種資源、システムへのアクセス権限の付与、見直し手続きを明確化すること。 |
| ファイルに対するアクセス制限機能を設けること。 |
| 本人確認機能を設けること。 |
| IDの不正使用防止機能を設けること。 |
| アクセス履歴を管理すること。 |
| 不正アクセスの監視機能を設けること。 |
4.管理者アカウント(特権ID)の管理に関するISO27001の要求事項(一部抜粋)
| アクセス権の削除 | すべての従業員、契約相手及び第三者の利用者の情報及び情報処理施設に対するアクセス権は、雇用、契約又は合意の終了後に削除しなければならず、また、変更に合わせて修正しなければならない。 |
|---|---|
| 監査ログ取得 | 利用者の活動、例外処理及び情報セキュリティ事象を記録した監査ログを取得しなければならず、また、将来の調査及びアクセス制御の監視を補うために合意された期間、保持しなければならない。 |
| システム使用状況の監視 | 情報処理設備の使用状況を監視する手順を確立しなければならず、また、監視活動の結果を定めに従ってレビューしなければならない。 |
| ログ情報の保護 | ログ機能及びログ情報は、改ざん及び認可されていないアクセスから保護しなければならない。 |
| アクセス制御方針 | アクセス制御方針は、アクセスについての業務上及びセキュリティの要求事項に基づいて確立し、文書化し、レビューしなければならない。 |
| 利用者登録 | すべての情報システム及びサービスへのアクセスを許可及び無効とするために、利用者の登録・登録削除についての正式な手順を備えなければならない。 |
| 特権管理 | 特権の割当て及び利用は、制限し、管理しなければならない。 |
| 利用者アクセス権のレビュー | 管理者は、正式のプロセスを使用して、利用者のアクセス権を定められた間隔でレビューしなければならない。 |
| パスワードの利用 | パスワードの選択及び利用時に、正しいセキュリティ慣行に従うことを、利用者に要求しなければならない。 |
| 利用者の識別及び認証 | すべての利用者は、各個人の利用ごとに一意な識別子(利用者ID)を保有しなければならない。また、利用者が主張する同一性を検証するために、適切な認証技術を選択しなければならない。 |
5.特権IDやシステム管理者権限に対する対策の現状
管理者用アカウントの適切な無効化等の確実な措置は、企業・組織にとって当然実施されていると思われがちである。しかし、企業・組織においてITシステムが規模を拡大しているなかで、サーバ仮想化によるサーバ台数の増加、ルーター、セキュリティ・アプライアンスなどの管理者用アカウントの管理は一層煩雑になっており、それに伴い書類上で削除されていることになっているのに当該アカウントが有効であったりするなどの現実がある。
実際の企業の現場では、情報システムの運用において「特権IDを共有で利用している」、「特権ID利用の申請ルールが徹底されていない」、「申請なしに権限を与えてしまう」、「証跡不足により、誰が・いつ・なにをしたか特定できない」、「退職者、異動者のID削除漏れが多い」といった諸問題が、潜在化した漏洩リスクであることを認識する必要がある。
この特権IDやシステム管理者権限の悪用は、情報セキュリティ関係の制度が整っているとされている組織・企業でも起こり得る盲点であることを改めて認識していただきたい。
潜在的不正が顕在化しないためにも、複数のシステム管理者による相互監視、又は少なくともシステム管理を更に監督する管理監督者や所属長の存在が重要になってくる。これは、組織の大小にかかわらず、情報システム運用上不可欠であるといえる。
6.最後に~内部不正対策に関する一考察
不正トライアングル理論に基づく内部不正対策を考える場合、「不正の動機」や「不正の正当化事由」と言うようないわば行為者の心理的要因といった属人的要素については、把握しきれないと言うことでその対策は軽視される傾向にある。
一方で、業務環境統制や管理体制構築により不正をできないようにする「不正の機会」抑制型の対策は、管理者の存在や管理ルール、管理のための各種帳票等の存在等、見栄えもよく、社内に対して成果や形を示せるメリットもあることから、企業内においても、推奨・推進されることが多い。
しかしながら、「不正の機会」抑制型の対策は実は非常に大きな「不正の機会」を生み出すという盲点を含んでいることに留意しなければならない。前段のアクセス権限者による故意の情報の持ち出しにせよ、後段の特権ID付与者の不正にせよ、正当な権限者による不正によるリスクは極めて重大かつ甚大な被害をもたらす。
一般従業員等のシステム利用者による「不正の機会」を減らそうとするアクセス制限と言う経営者やシステム管理者が有効と考えている対策は、最もリスクの大きい正当な権限者の不正に対する対策としては全く無力であり、諸刃の剣であることを十分に認識していただくことが重要である。
