システム管理者による内部不正情報漏洩

IPA発行「内部不正による情報セキュリティインシデント実態調査（2016年3月）」によると、内部不正情報漏洩実行者の半数以上がシステム管理者である。

内部不正の被害額はサイバー攻撃より大きい

このIPAの報告書では、実際に内部不正をした事例１０件について直接インタビューも行っている。そのインタビューの内容を専門家がまとめた考察が非常に示唆深い。

アンケートやインタビューの調査では、経営者やシステム管理者のように権限を持った人物の犯行が目立ち、被害額も外部のサイバー攻撃よりも大きいとされている点が注目するべき点であろう。

監査ログ強化はマルウェア感染対策にも有効

対策についても、権限を持った人物の犯行を抑止するために、ログ監査が重要であるという考察が述べられている。

システム管理者が情報窃取実行者であるため、窃取者がログを削除しないようにすることが重要である。
最近のマルウェアは社内に侵入し権限を奪ったあと自分の証跡を削除するものが増えてきている。侵入や窃取の痕跡を削除させないログ管理方法は、今後ますます重要であると考えられる。

一般社員向けの内部不正対策

内部不正対策は
・一般社員向け対策
・システム管理者向け対策
の２つに分けて考えられる。

一般社員向け対策
１，情報持ち出禁止
・機密情報をインターネット経由でアップロードさせない仕組み。（ファイアーウォールの接続先制限や、セキュアゲートウェイの導入など）
・機密情報をメール添付で持ち出させない仕組み。（メールサーバの添付ファイル禁止や、個人メールドメインへの接続制限など）
・USBメモリなど外部記憶デバイスへの接続禁止。
・スマホのファイル同期禁止。（同期アプリのインストール禁止やファイルそのもののPCへの保存禁止など）
・印刷禁止（セキュアブラウザのみの閲覧の許可。またはプリンタの印刷ログの監視など。早朝や残業時間や休日などに大量の印刷がある場合など。）

２，監査ログの強化
・機密情報のアクセス時はログ収集と監視が行われていることを、一般社員に周知させること。

３，権限管理の強化
・退職者のついては速やかにアクセス権限を削除すること。

システム管理者向け対策の内部不正対策

１，情報持ち出し禁止
・一般社員と同様の対策となるが、システム管理者はこれらの対策をすり抜ける権限を持っていることも多い。従って次の２と３が特に重要となる。

２，監査ログの強化
・とにかく機密情報へのアクセスや、権限変更やセキュリティポリシーの変更などの操作ログは自分たちでは削除出来ないことが最も効果的な対策と言える。

３，権限管理の強化
・システムを管理する人間（機密情報に直接アクセス出来る役割）と、セキュリティポリシーを管理する人間（セキュリティポリシーやログを運用する役割）を別の人間別の権限とするように分業化とすること。

まとめ

・内部不正実行者の半数はシステム管理者であった。
・システム管理者を対象にした漏洩防止は、監査ログ強化が効果的である。またこの対策は、社内に侵入出来たマルウェアの対策としても有効である。