徳丸 浩さんに聞く!「あの情報漏えい事故はどうすれば防げたのか」
2012年上期の情報漏えい事故は2,357件にも上り、前年比+806件と2011年よりも大幅に増加する結果となった(※1)。また、2014年7月には大手サービス業による2,260万件の情報漏えい事故が発生。未だなくならない情報漏えい事故について、HASHコンサルティング株式会社 代表取締役 徳丸 浩 氏(独立行政法人情報処理推進機構(IPA)非常勤研究員)にお話しを伺った。
(※1:日本ネットワークセキュリティ協会「2012年情報セキュリティインシデントに関する調査報告書」)
MOTEX(以下、M):大手サービス業による情報漏えい事故からみたセキュリティ対策はどうですか?
徳丸氏:今回事故を起こしてしまった企業(以下、A社)は、セキュリティ対策を実施していなかったわけではありません。委託先の調査や契約、データベースのダウンロード制御、PC持込み制御、USBストレージの制限など、むしろ標準的なセキュリティ対策は実施していたと言われています。ではなぜ事故は起きてしまったのか。
A社は、一人1IDの管理、データベースアクセスログ取得を行っていたため、比較的すぐに犯人を特定することができました。制御による対策に加え、クライアントログを取得していれば、抑止効果による犯行の抑制や、もっと早い段階で発見できた可能性はあるのではないでしょうか。
M:ログ取得だけでは効果がないのでしょうか!?
徳丸氏:ログ監視は、誰が・いつ・何をやったかの記録をとり閾値を設けることで、いつもと違う挙動を発見することができます。しかし、今回のケースのように犯人が管理者権限を持っている場合、通常業務に加え不定形の業務を行っていたと推測できます。そうすると、毎回不定期のことをやっている場合での閾値を設定しづらかった可能性があります。つまり、ログを取得する(抑止効果)だけでは全てを防ぐことは難しいのです。とはいえ、あれだけの件数がもれたのですから、3ヶ月に1回のログ監査など実施するなど工夫次第で、もっと早く気づけた可能性はあります。
M:リスクをゼロにする有効な対策はあるのでしょうか。
徳丸氏:前述のとおり、A社はUSB等の制御も行っていましたが、犯人はたまたま接続したスマートフォンが制御対象でないことに気づき、今回の事件に至ったと言われています。スマートフォンが普及する数年前であれば、A社が行っていた対策で今回の事件は防げたはずですが、スマートフォンの登場やストレージサービスなど常に新しい技術や製品が登場します。こうすれば未来も大丈夫というものはないので、新しい技術や決めたルールの有用性、見直しをすることが重要です。
また通常の運用監査では、決めたルールが守れているかを確認していますが、その決めたルールの妥当性について定期的に見直しを行っているところは少ないのではないでしょうか。本来、監査とはそこまでやるべきですが、事故があったら見直すという是正処置でとどまっているところが多いのが現状だと思います。しかし、あれだけの事故が起こってからでは遅いので、やはりルールの有用性を定期的に確認し、ルールを見直すことが必要だと言えます。外部監査の監査人を入札により価格だけで選んでしまうと、そこまでの技量のある人に頼めないかもしれませんので、よくリサーチをしてしかるべき専門家に頼むことが望ましいでしょう。
M:改めて今、情報システム部門がやるべきことはなんでしょうか。
徳丸氏:ログ監視や定期的な監査、ルールの見直しももちろん重要ですが、現場のことをよく知っている情報システム部門の担当者が犯人になったつもりで情報の持ち出しができないかをシュミレーションしてみるのも有効です。仕組みを作る側は、通常は抜け道に気づいても言いにくいものですが、年に1回、そのような発見をしたら表彰されるコンテストなどを監査の一環として会社で実施してみるのも1つかもしれませんね。内部告発のようになってしまうとやったほうもやられたほうも後味が悪くなってしまいますが、会社全体で前向きに取り組む風土や文化を作り、知恵を競わせることで思わぬ欠陥が見つかる可能性もあります。
今回のケースのように、悪意があるケースなどを完全に防ぐことは難しいかもしれないが、ログを取得し抑止環境を作ると同時に、監査の運用体制、社内の風土や文化を変えることで、リスクは大きくさげられるのではないだろうか。