CISOの相談室 第9回 IT管理者の不正はどうやって防げばいいの? | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.11.24(金)

CISOの相談室 第9回 IT管理者の不正はどうやって防げばいいの?

特集 特集

 もはや企業活動にITは欠かせないものとなっていますが、そのITを管理する担当者やセキュリティの担当者が、立場を悪用して不正を働いてないか心配です。このIT管理者の不正を防ぐにはどうすればよいでしょうか?

◎ 相談室にご相談をお寄せください
メールでのご相談 scan@cybozu-mt.jp
Webフォームからのご相談 https://shop.ns-research.jp/form/fm/qa



 今日ほど企業活動がITに依存してくると、IT資産の重要性はもちろんのこと、それを管理するIT管理者の責務は多大であるといえます。その反面、IT管理者はその立場を悪用して簡単に不正を実施することができるという企業リスクがあります。IT管理者の不正には、会社の機密情報を持ち出したり、ネットワーク内部に損害を与えたりすることが考えられます。これらの不正を100%封じ込めることは不可能でも、リスクを低減することは可能です。

●最高情報責任者(CIO)を作ろう

 責任者不在ではネットワークはIT管理者のやりたい放題にされてしまいますね。そして、万一事故や事件が起こっても、その責任はあやふやにされてしまいます。日本企業にありがちなこの体制こそが事故や事件を再発させる最大の理由なのです。「責任を追及して処分する。」この厳しさこそがIT管理者に隙を与えない企業体制といえます。中小事業所では社長=CIOとなりますが、中規模以上の企業では、経営者の中からCIOを選任しましょう。そして、CIOが「IT管理者の不正」も含めてITに関する最高責任者となります。

●リスクを分散する

 「親亀こけたら皆こけた〜♪」にならないように、リスクを分散しましょう。よくこんなことを聞きます。「うちのネットワーク管理者は、間違いなく社長より会社のこと知っているんじゃないの。」こんなことを社員に言わせているようではダメです。

 先ず、業務を分けましょう。例えば、「基幹ネットワーク」、「社内ネットワーク」、「外部向けネットワーク」、「営業情報システム」、「顧客情報システム」、「技術情報システム」、「財務情報システム」、「管理情報システム」、「セキュリティシステム」など業務毎に複数のIT管理者を置き、それぞれが他のシステムへの権限を持たないようにします。とは言っても人員不足や緊急時の対応を考えて、権限は掛け持ちさせなければならないでしょうから、その場合は、できるだけ縁が無いシステムを兼任させるようにしましょう。

 また、IT管理者の職務は、システムを構築・運用することなので、システムの設定を変更する権限を持っていても、データの閲覧権は待たせないようにしましょう。逆にデータの閲覧権がある業務責任者にはシステムの権限を持たせないようにしましょう。

●抑止効果を利用せよ

 不正を働かせない最も有効な手段が抑止です。端末やサーバに監視機能を導入し、アクセスログによってIT管理者を監視するのです。人間は常に誰かに見られていると思えば罪を犯しにくくなります。監視カメラがあるだけで(例えダミーカメラだとしても)、犯罪率が少なくなる原理と同じですね。この場合もCIOや一担当者だけで監視するのではなくて、IT担当者同士でお互いを監視させる方が、より不安をあおり抑止効果としては絶大となります。

●早めに締め出す

 IT管理者が退職日までスーパーバイザー権限を持っていたとか、引継ぎの関係で退職してからもしばらくはアカウントを保留していたとかを良く聞きます。IT管理者の退職が決まったら、なるべく早くに(できれば通告前に)権限レベルを下げるようにしましょう。退職後も外部からネットワークにアクセスして、さまざまな不正を行使できますので、社員のアカウント(メールアドレスも含む)は退職日に完全に削除するようにしてください。

 IT管理者が退職する時に一番狙われる情報に、さまざまな権限を行使できる「パスワードのリスト」があります。このリストはIT資産の命です。パスワード・リストがあれば他人に「なりすまして」ログインできるわけですから、退職の前後にかかわらず様々な不正が可能になってしまいます。

 IT管理者だからと言って、誰にでもパスワード・リストの閲覧権を与えるべきではありません。パスワード・リストは、CIOが責任を持って、安全に(デジタル的にもアナログ的にも)保管し、定期的に変更するようにしてください。そして、IT管理者の退職が決まったら、退職者の権限レベルを下げることと同時に、主要なパスワードは直ちに変更してください。

●最高機密には到達できない工夫

 IT担当者が業務の上でどうしてもアクセスする必要のある情報で、しかも、会社としては最高機密にランクされている情報は…

【執筆:せきゅバカ一代】
<執筆者略歴>
セキュリティ業界で15年。
現在は某セキュリティ会社の社長を勤める。
自ら世界中を駆け巡って新技術を収集している。

◎ 相談室にご相談をお寄せください
メールでのご相談 scan@cybozu-mt.jp
Webフォームからのご相談 https://shop.ns-research.jp/form/fm/qa
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

    ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  2. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  3. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

    クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  4. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第8回 「はした金」

  5. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  6. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第9回「勤怠簿」

  7. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  8. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

  9. ISMS認証とは何か■第1回■

  10. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×