内部不正による情報漏洩などの考察
内部不正による情報漏洩について考えます。(参考:R2秋 応用情報)
- 保有する情報は管理規定に基づいて、秘密区分を設定
- 電子文書や書類に、区分に沿ったマークを表示または押印して誰でも判別できるようにする
- そのシステムの利用者だけに業務上必要となる最低限の機能を利用できる権限(アクセス権)を付与する
- システムが保有する情報をPCや許可された可搬型記憶媒体にダウンロードできる
- 資産価値または重要度の高い情報の社外へ持ち出しは原則禁止されているが、持ち出す場合は、管理者の承認を得た後に持ち出すことができる
内部不正に対する技術面での対策(あくまで応用情報の話)
USBメモリなどの可搬型記憶媒体の運用が、管理規定どおり行われていない。
対応:PCの操作ログの取得機能やデバイス制御機能を持つPC管理システムを導入する。
デバイス制御機能では、許可されていない可搬型記憶媒体のPCへの接続を拒否することで情報の不正持ち出し抑制する方法
メールや社外のWebサイトの利用が、管理の規定通り行われていない
対応:
- 添付ファイル付きのメールに対して、あらかじめ指定された上司に通知し、上司の承認後に送信する
- プロキシサーバでURLフィルタリングを稼働させ、業務上必要なWebサイトをホワイトリストに登録してアクセスを許可し、それ以外のWebサイトは遮断する
ホワイトリストに含まれないWebサイトの中に、業務上必要となるサイトが存在する場合、利用したいWebサイトの認定申請をする。
重要情報へのアクセス履歴および利用者の操作履歴などのログの取得と管理が適切に行われていない
対応:
プロキシサーバとPC管理システムですべてのログを取得するとともに、新たにメールアーカイブ機能を有効にする
プロキシサーバのログでは、通信が行われた日時・作業者のID・アクセス先IPアドレス・操作内容などができるようになる
※作業者のIDを特定できるようにするために、プロキシサーバでは利用者認証を実施する。
PC管理システムのログでは、送信されたメール本文・ファイルの内容・送信者および宛先が特定できるようになる
ディジタルフォレンジックス
不正アクセスや情報漏えいなどのセキュリティインシデントが発生した際に、インシデントに関係するコンピュータやデバイスなどの機器から、原因究明や法的証拠に必要となる電子的記録を収集し、保全し、解析すること
内部不正の対策案を社内に告知する
実施するセキュリティ対策を告知することは、社内の意識向上だけでなく、内部不正を抑止力となります。
情報を不正に社外に持ち出すのが難しいことや不正を隠し通せないと分かるためです。
組織における内部不正防止ガイドライン
p67からの付録が充実している
https://www.ipa.go.jp/files/000057060.pdf
内部不正防止のための基本原則
- 犯行を難しくする(やりにくくする)
対策を強化することで犯罪行為を難しくする - 捕まるリスクを高める(やると見つかる)
管理や監視を強化することで捕まるリスクを高める - 犯行の見返りを減らす(割に合わない)
標的を隠したり、排除したり、利益を得にくくすることで犯行を防ぐ - 犯行の誘因を減らす(その気にさせない)
犯罪を行う気持ちにさせないことで犯行を抑止する - 犯罪の弁明をさせない(言い訳させない)
犯行者による自らの行為の正当化理由を排除する