コンプライアンス違反の事例から見えてくる監視や監査が行える基盤の必要性について
- INDEX
-
情報セキュリティに関するコンプライアンス違反の事例
はじめに情報セキュリティに関するコンプライアンス違反の事例について、下記URLのPDF資料の内部不正に関する事例(付録Ⅰ:内部不正事例集 P.66~P.69)を参考にご紹介します。 参考元および引用元URL:組織における 内部不正防止ガイドライン - IPA https://www.ipa.go.jp/security/event/2013/ist-expo/documents/preso11.pdf情報漏えいに関する事例
" 企業において、元従業員がインターネットから企業ネットワークへのリモートアクセス接続サービスを使って、機密情報を持ち出していた。 " 上記は退職および離職した人物が外部から社内ネットワークにアクセスし、不正に機密情報を持ち出したケースです。適切な監視によって検知・把握できていれば、すぐに発見できていたケースであると同時にネットワークへのアクセス権の設定が重要であることがわかる事例と言えます。 " 企業において、ある部門の社員(複数名)が新会社立上げを考え一斉に退職する際に、顧客情報(営業秘密)を新会社で利用する目的で持ち出した。 " 上記は同じく退職するタイミングで、顧客情報にアクセスできる人間がアクセスできる権限を悪用したケースです。企業や組織における情報資産を勝手に持ち出すというケースであり、ファイルへのアクセス権、ファイル操作の権限、ファイル操作ログの監視など情報資産管理ができていれば防げた事例と言えるでしょう。データ改ざんや悪用に関する事例
" 企業において、従業員が、顧客から Web の問い合わせフォームに入力された内容を、個人のアドレスにも送信するよう設定し、問い合わせ内容を不正に入手していた。 " 上記は問い合わせフォームを不正にデータ改ざんして、情報を不正に入手するというケースです。メールアドレスを追記する形でデータ改ざんを行うことで自動的に情報を収集しているケースであり、問い合わせフォームのファイルの変更が検知できていれば防げた事例であり、同時にネットワークの監視が徹底されていれば、不自然なトラフィックを把握できたかもしれない事例と言えます。 " 金融機関の ATM の保守管理業務を委託している企業の社員が、ATMの取引データから顧客のカード情報を不正に取得した。この情報から偽装キャッシュカードを作成・所持し、現金を引き出した。 " 上記は不正に取得した個人情報を悪用し偽装キャッシュカードを作成・所持したケースであり、非常に悪質です。顧客に直接的な被害が出るだけでなく、信頼を失うためです。この場合も適切な権限、ファイルへのアクセス権、アクセスログなど早い段階で検知、防止できてれば防げたケースでもあります。データの盗難・換金に関する事例
" 企業において、社員が機密情報の入った CD-ROM を持ち出し、機密情報を換金していた。この社員は、情報システムから機密情報を取り出す際に、部下に仕事の一環と説明して正規の手続きで機密情報の入ったCD-ROM を作らせて、隠蔽を図っていた。 " 上記は物理的な媒体であるCD-ROMに不正にコピーして盗難、換金していたケースです。パソコンのドライブの利用を物理的に廃止、もしくはシステム的に利用不可にしておけば防げたケースであり、同時にファイルのコピーも含めてPC操作ログを取得、監視できてれば問題を早く発見できたケースと言えます。 " 企業において、システム管理者が機密情報を繰り返し持ち出して換金していた。繰り返す度に機密情報の持ち出し行為がエスカレートしていった。 " 上記は繰り返し持ち出して換金していという悪質なケースであり、自分の立場や権限を悪用している最悪のパターンと言えます。情報システム部やセキュリティ担当においても自身を他人が監視している、監視してくれているという体制がないことで持続してしまったケースであり、監視による透明性の確保の大切さがわかるケースと言えるでしょう。「AssetView Cloud +」製品資料
AssetView Cloud +は、情報システム担当者が管理・対策業務を最小限のリソースで効率的に実施できるよう、ヒトを起点とした新しい管理が実現できる運用管理ツールです。
IT資産管理、ログ管理などのIT統合管理ソフトウェア『AssetView』は、お客様の状況に合わせたIT統合管理を実現。
監視や監査が行える基盤の必要性について
次に監視や監査が行える基盤の必要性について解説します。内部不正に関するコンプライアンス違反を防止・抑制につながる
情報漏えいやデータ改ざん、データ盗難や換金など、コンプライアンス違反とともに内部不正を行っているケースには監視や監査が行える基盤があること自体が防止・抑制につながります。現実的にも「絶対にバレる」とわかっており、「システム的に検知され証拠が確実に残る」ことが周知されていれば、わざわざコンプライアンス違反も内部不正も行わないですし、行えないからです。セキュリティインシデントが発生した時の把握や調査がしやすい
コンプライアンス違反も内部不正も発生したこと自体が把握できていなケースがほとんどです。監視や監査ができる体制があれば、システム的に異常を検知し、すぐに対処することができます。セキュリティインシデントは初動が大切であることを考えると、検知できない、把握できない体制自体が危険ということです。逆に言えば、システム的に自動で検知し、操作そのものを行わせない、またはファイルや権限をロックするような仕組みがあれば、セキュリティインシデントそのものを防止できるようになります。透明性が確保され、雇用する側も従業員側も安心して働ける
監視や管理は普段の職場環境でも物理的に存在することと言えます。実際に「人の目」があるところで堂々と悪いことをする人は、そうたくさんは存在しないでしょう。しかし、電子データの取扱いですと、人の目がないように感じられ、安易に内部不正およびコンプライアンス違反を行ってしまいます。同時に故意ではなく、うっかりミスやヒューマンエラーで結果的に内部不正やコンプライアンス違反になることがあるのも事実です。システム的な監視や管理によって、電子的に人の目があること、監視されていることで、雇用する側も従業員側も安心・安全に働けるようになるというとでもあります。コンプライアンス違反を意識した監視や監査に必要な技術について
次にコンプライアンス違反を意識した監視や監査に必要な技術について解説します。PC操作ログ・メールの送受信履歴・Webサイト閲覧履歴の管理
コンプライアンス違反は「悪意のある人物の行動」をいかに把握し、検知し、監視できるかが重要です。そのため、PC操作ログ・メールの送受信履歴・Webサイトの閲覧履歴などのログを取得して監視することができれば、コンプライアンス違反につながる行動を検知できます。ネットワークやファイルへのアクセスに関するセキュリティの強化
社内ネットワークへのログイン、またはファイルへのアクセス権、または立場や役職による権限についてもセキュリティを強化すべきと言えます。誰でもアクセス可能、閲覧やコピー、編集が可能な状態ではセキュリティ性を確保することはできないからです。権限を越えてファイルやネットワークにアクセスさせない、必要以上のデータを見せない、触らせない体制をシステム的に整えることが大切です。テレワークやリモートワークにも対応することを忘れずに
「社内であれば安全だったが、テレワークやリモートワークまでは気が回らなかった」というケースもあります。昨今ではテレワークやリモートワークのために、オンラインサービスを業務で利用することもごくごく当たり前です。そのため、セキュリティが及ばない部分が出てしまうことで、結果的にコンプライアンス違反や内部不正を引き起こしてしまうのです。どのような場合においても、いつ・誰が・どこで・何をしたということを把握できるようにすることが大切であり、クラウドやオンラインサービスを利用する際も監視できりょうにしておくことをおすすめします。まとめ:IT資産管理や情報資産管理が可能なシステムの導入をすすめるべき
今回は情報セキュリティに関するコンプライアンス違反の事例、監視や監査が行える基盤の必要性、そしてコンプライアンス違反を意識した監視や監査に必要な技術についてお話しました。 コンプライアンス違反については、監視によって把握していること自体が抑止力になること、同時に知らず知らずのうちに内部不正に加担してしまうことの防止につながります。むしろ、監視によって検知や把握ができない状態では、何の証拠も残らず、何が起きているかわかっていない状況であり、内部不正も含めて何らかのセキュリティインシデントが起こる可能性が非常に高く危険です。 当社が提供するIT資産管理ツール・情報資産管理ソフト「AssetView」シリーズを組み合わせることで、情報セキュリティに関するコンプライアンス違反の把握や検知、監視による管理が可能となります。雇用主、従業員、顧客の全員が安心・安全を感じられるセキュリティ体制の構築につながりますので、ぜひともこの機会にご相談、お問い合わせください。「AssetView Cloud +」製品資料
AssetView Cloud +は、情報システム担当者が管理・対策業務を最小限のリソースで効率的に実施できるよう、ヒトを起点とした新しい管理が実現できる運用管理ツールです。
IT資産管理、ログ管理などのIT統合管理ソフトウェア『AssetView』は、お客様の状況に合わせたIT統合管理を実現。