企業の内外に潜む情報流出の脅威　再考が求められる対策

　ITmedia エンタープライズ編集部が主催するソリューションセミナー「不正アクセスや内部犯行による情報流出を防ぐ全方位の対策」が12月1日に東京、8日に大阪で開催された。【國谷武史，ITmedia】

　従来の情報漏えい対策は、企業の外部もしくは内部に存在する個々の脅威に備えるアプローチが主流だったが、現在は包括的なアプローチが求められるようになった。セミナーでは脅威の最新動向を交え、情報資産を保護するためのソリューションが紹介された。

●甚大な被害を伴う内部の脅威

　冒頭の基調講演には、ITmedia エンタープライズの人気連載「会社に潜む情報セキュリティの落とし穴シリーズ」の執筆を手掛ける一般社団法人「情報セキュリティ相談センター」事務局長の萩原栄幸氏が登壇した。「あなたの会社は大丈夫？　組織内部に潜む犯罪の現実」と題する講演の中で、萩原氏は企業や組織における内部犯罪や内部不正の実態を解説した。

　「組織内部に起因する情報漏えいは少ないが、その影響は非常に大きい」（萩原氏）。日本ネットワークセキュリティ協会のレポートによると、情報漏えいの原因の大部分は人間の過失が占める。内部犯罪・内部不正行為が占める割合は1％ほどだが、1件当たりの漏えい人数は人間の過失の十倍以上にもなるという。

　一般的に内部犯罪や内部不正は、「悪意」を持った人間が行うものと思われがちだ。しかし萩原氏は、「善意」を持った人間が内部犯罪や内部不正行為の「予備軍」になる恐れがあると指摘する。例えばNRIセキュアテクノロジーズの調査では、規則で禁止されているにも関わらず自宅で仕事をするという回答者が7.4％に上った。こうした回答者は、仕事に熱心なあまりにルールを破ってでも仕事に取り組もうとする傾向にある。

　不正検査士でもある萩原氏は、情報セキュリティ問題をはじめとする数々の内部犯行や内部不正の調査に携わってきた。同氏によれば、ACFE（公認不正検査士協会）の統計分析では内部犯行や内部不正に及ぶ人間には14種類の特徴がみられるという。代表的なものは、「勤続年数が長い」「雇用主からの信頼が厚いが、同僚からは尊敬されない」「単独で業務をこなし、他人の関与をこばむ」などだ。ACFEは毎年この傾向を発表しているが、過去20年にわたってほとんど変化がない。

　内部犯行や内部不正の実態は、交通費を着服するようなものから、企業を倒産に追い込みかねないものまでさまざまだ。横領のような場合、不正行為の期間が長いほど事態が深刻になる。「半年以内なら数百万円ほどの被害だが、2年以上なら億単位になる。日本では犯行が明るみになるまで平均で1年半ほどかかっている」（萩原氏）

　しかし大半の犯行は関係者の間で内々に処理され、表面化することがないという。雇用主からの信頼が厚い人間や雇用主の親族が被疑者である場合が多く、調査をためらう管理職も少なくない。内部犯行や内部不正は、その兆候を見つけるのが非常に難しく、表立った調査を実施できないことが課題である。

　萩原氏は、内部犯行や内部不正への早期対応を図る方法として「内部通報制度」の活用を勧める。不正の兆候に気付いた従業員が社内の窓口に通報し、従業員の安全を確保した上で専門の担当者が対応する仕組みだ。米国では従業員1000人当たり年間8.3件の通報があるという。内部通報制度の運用では、不正行為に対して会社が毅然とした態度をとることを従業員に理解してもらう必要があり、迅速に対応することが重要である。内部通報制度が有効に機能していることを周知できれば、内部犯行や内部不正の抑止効果も期待される。

　被疑者にみられる特徴は統計分析の結果であり、萩原氏は「仕事に熱心な従業員が絶対に不正をするものではない」と忠告する。むしろ、膨大な量の業務を従業員に強いる環境が「善意」で仕事をしている従業員を追い込む結果になりないと同氏は警鐘を鳴らす。組織内部からの情報流出を防ぐには、技術的な対策を実施するだけでなく、不正行為をする人間を生ませない環境作りが肝心であるようだ。

　萩原氏は、情報セキュリティ担当者に業務の現場をきめ細かく巡回してほしいとアドバイスする。「異変や不正の兆候に気を配り、仕事の負担を抱える従業員をケアすることで、内部脅威のリスクを解決していただきたい」と話している。

●行き詰まる「被害に遭わない」対策

　特別講演に登壇したS&Jコンサルティング 代表取締役社長の三輪信雄氏は、外部脅威の観点から従来のセキュリティ対策が抱える問題を取り上げた。「被害に遭わない」対策の理想と現実に、あまりにも隔たりがあるというのが同氏の見解だ。

　外部脅威の動向に目を向けると、システムの脆弱性を突いた不正アクセス攻撃によって、企業内から重要情報が盗み出される事件が今なお後を絶たない。また、最近では「Gumblar型攻撃」のようにWebサイトの改ざんなどによって顧客がマルウェアに感染し、ログイン情報やクレジットカード場などを直接盗み取られてしまう被害が常態化している。

　三輪氏は、日本企業のセキュリティ対策は「被害に遭わない」「防ぐ」という考え方が先に立ち、「それでも被害に遭ったら……」と考えるのは不謹慎とされる文化的特徴があると指摘する。対策の導入を検討する上で、「被害に遭わない」「防ぐ」という理由の方が経営層の理解を得やすいためだ。このような文化的背景をもとに、従来は新たな脅威が出現する度に新しい対策を導入することが繰り返されてきた。

　例えば、システムのOSやアプリケーションのセキュリティパッチをこまめに当てるという対策がある。しかし、近年は「ゼロデイ攻撃」と呼ばれる未知の脆弱性を狙った攻撃が横行し、パッチがベンダーから提供されるまでユーザーは実質的な対応がとれない。そもそも脆弱性を作り込まないようにするというセキュアな開発も推奨されてはいるが、限られた予算の中でそれを意識している企業は少ないという。

　Webシステムを狙う攻撃の増加から、Webアプリケーションファイアウォール（WAF）の利用が注目されたこともある。だがWAFは、基本的に高度なノウハウを持つ技術者が常にチューニングを続けなければ効果を維持できないという対策だと三輪氏は語る。

　対策には必ずメリットとデメリットがあり、その両面を正しく理解した上で運用しなければ、同じことを繰り返すだけになってしまう。「対策を真剣に取り組めば取り組むほど、現実の脅威を防ぐことがいかに難しいかが分かるだろう」（三輪氏）

　結果的に、多くの企業が堅牢な防御システムを構築するようになった。ある程度対策が進むと、今度は「本当に防いでいるのか」「攻撃状況を知りたい」と意識するようになり、導入している対策の実際の効果に着目するようになる。三輪氏は、「この視点に至る企業がようやく現れ始めた」と語る。

　「完全なセキュリティ対策は存在しない」と言われることが多い。三輪氏はこの言葉の意味を理解し、「被害に遭わない」「防ぐ」という考え方から脱却して、「それでも被害に遭ったら……」という視点で、防ぐことができない攻撃や被害に備える方法が重要だと提起する。脅威を迅速に発見し、できるだけ早く対応できる体制を構築しておく。被害を抑止する、もしくは小さくするために、平時から訓練を実施し、実際に問題が起きて適切な行動がとれる準備をしておくべきであるという。

　情報流出は企業や組織が直面する深刻な問題である。萩原氏と三輪氏が講演で語ったことは、いずれも従来型の情報セキュリティ対策が抱える「後手の対応」からの脱却であり、脅威に先手を打って対応していくことで、被害を最小にする「プロアクティブ」なアプローチが重要だ。最新のセキュリティ対策技術は、このアプローチを取り入れているものが多い。

●脅威の予兆から先手を打つ

　システム管理製品を手掛けるNetIQの水澤景太氏は、内部不正の兆候をシステムで自動的に検出し、管理者が迅速に対応する仕組みを提案する。

　かつては、例えば操作ログやアクセスログを常に監視して不正の兆候を発見するといった方法が推奨された。だが、多数のシステムから出力される膨大な量のログを人の目で監視することはほぼ不可能である。実際にはログを保存しておき、問題が起きれば原因の究明に利用されるという具合だ。これでは内部不正を率先して対応することが難しい。

水澤氏が提案する仕組みは、事前に不正の疑いがある行為をルールとして定義しておき、システムが社内の状況をリアルタイムに監視する。システムがその兆候を検知すると管理者に通知され、該当する従業員に確認する。同社は「Luminet」でこの仕組みを提供している。

　例えば、「営業時間外に業務システムにアクセスする」「規定回数以上のログインがある」「一定件数以上の顧客情報を利用している」といった行動を不正の兆候として定義。システムが従業員の行動を監視し、この定義に抵触するかどうかを自動的に判別する。

　水澤氏によると、Luminetを導入した金融系企業では、最初の2週間ほどで多数の警告が発せられ、管理者が確認や指摘を適宜行った。1カ月ほどで警告の発生件数は4分の1に減少し、不正をしていた従業員の特定にも成功したという。この従業員は解雇されたが、その後はLuminetが警告を発するケースがさらに減少したという。

●適切なWebの利用を促す

　企業のインターネット利用で課題になっているのが、ソーシャルサービスだ。仕事に有益な情報を入手したり、顧客に情報を発信したりする手段として注目されているが、ソーシャルサービスの多くが個人利用を想定しており、企業としての適切な利用ルールが確立されていない。

その結果、従業員が業務時間中に私的に利用して、重要な情報を公開してしまうリスクがある。またソーシャルサービスでは不正プログラムに感染する被害も多く、従業員の端末から機密情報が盗み取られる危険もある。ソーシャルサービスには、内部と外部による脅威がつきまとう。

　デジタルアーツの木根義治氏は、URLフィルタリング技術を活用することで、ソーシャルサービスの適切な利用を促すことができると話す。同社の「i-Filter」ではカテゴリ単位だけでなく、サービスごとにその利用を制限することができる。例えば、あるサービスでは閲覧のみを許可し、書き込みは禁止するというものだ。また特定の言葉を指定することで、その言葉を含む書き込みだけを禁止するという設定も行える。

　木根氏は、「利用方法に制約を設けることで従業員の誤った利用を抑止しつつも、仕事に必要な利用を認めるといったルール作りが可能になるだろう」と話している。

●従業員に「気付き」を与える

　情報流出を抑止するには、従業員が常に意識することが効果的であるとされる。だが研修会などの場だけでは、すべての従業員にそれを徹底してもらうようになるまでに多くの時間を費やしてしまう。

　トレンドマイクロの吉田睦氏は、「どのような行為が情報流出につながるのかを、リアルタイムに従業員に知らせることで、気付きを促すことができるだろう」と話す。その仕組みを提供するのが、内部からの情報流出を防ぐ「Data Loss Prevention」（DLP）と呼ばれるソリューションである。

　DLPは、どのようなデータが重要であるか、どのような行為が情報流出につながるのかといった条件を定義し、実際にそのような行為をシステムで検出すると、データが外部に流出するのをブロックする。同社の製品には、従業員にブロックをした理由を説明する機能もある。情報が流出してしまうタイミングは、従業員にその危険性を理解してもらえる機会にもなる。DLPは情報流出の「防止」「抑止」「記録」「教育」をバランス良く実施していける基盤になるという。

　一方、インターネットによる外部脅威に対しては「Webレピュテーション」という仕組みが有効という。Webレピュテーションは、ユーザーから提供される不正サイトの情報をデータベース化し、ほかのユーザーがデータベースを参照することで、不正サイトへの接続を回避する仕組みだ。

　不正サイトへの接続を完全にブロックする手段の実現は非常に難しいが、世界中から提供される情報を活用する仕組みによって、インターネットによる外部脅威の危険性を可能な限り排除していくという。

●第三者が証明する「安全性」

　情報流出の危険は、企業だけでなくその顧客が直接狙われるケースも増えている。その代表例であるフィッシング詐欺は、攻撃者が実在する企業や組織になりすまして顧客をだまし、詐欺サイトに誘導して情報を盗み出す。詐欺サイトは正規サイトと似せて作られ、顧客が一見しただけでは判別が難しい。ソーシャルエンジニアリングと呼ばれる顧客の心理を悪用した攻撃も多い。

　フィッシング詐欺やソーシャルエンジニアリングによって、ブランドが悪用された企業や組織にも風評などの被害が発生する。こうした脅威から顧客や自社を保護にするには、どのような方法があるのか。日本ベリサインの大塚雅弘氏は、Webサイトが正規のものであること、また、安全であることがすぐに分かる仕組みを提案する。

　SSLサーバ証明書を発行する同社は、証明書を発行する際にWebサイト運営者の身元を厳正に審査している。SSLサーバ証明書を導入しているWebサイトを閲覧すると、同社の認証シールや「鍵」マークのアイコンが表示されることでもおなじみだ。また、その強化版であるEV SSL証明書を導入したWebサイトでは、対応するWebブラウザのアドレスバーが正規サイトであること証明する緑色に自動的に変化する。

　同社では今後、EV SSL証明書にマルウェア感染の危険がないことを表示する機能や、検索サービスの結果画面に「VeriSign Trusted」というシールを表示する機能も提供していくという。こうした仕組みを利用することで、企業は顧客にWebサイトが安全であることを知らせることができる。

　大塚氏は、「攻撃に備える対策だけでなく、自社のセキュリティ状況を顧客に見てもらうアプローチも検討していただきたい」と話している。