内部不正の早期発見に必要なポイントを紹介(デロイト トーマツ サイバーセキュリティ先端研究所) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.09.22(金)

内部不正の早期発見に必要なポイントを紹介(デロイト トーマツ サイバーセキュリティ先端研究所)

脆弱性と脅威 脅威動向

デロイト トーマツ サイバーセキュリティ先端研究所は9月3日、「内部不正」をテーマとした記者向け発表会を開催した。発表に先立ち、同研究所の所長である丸山満彦氏は「内部不正が権限のある者が行うため、アクセスコントロールでは守れない。ロジカルな対策が必要になる」と述べた。主任研究員である白濱直哉氏は、サイバー犯罪の犯人の1/4が内部者であり、その被害は外部者による犯行とほぼ同じという資料を示した。

また、内部不正の要因には「機会:不正が可能な環境」「動機:不正を働くきっかけ」「正当化:不正を正当化する理由」の3つの要素があるとし、これらが揃ったときに犯行が行われるとして、それぞれのリスクを識別して対策していくことが必要であるとした。一方、組織側では「不正を行う職員はいない」「漏えいして困る情報はない」「対策は万全である」といった認識が多く、この認識が内部不正対策を阻害していると指摘した。

さらに、内部不正対策は実際に被害に遭った組織においても十分な対策ができていないケースが多いとして、チェックリストを示した。リストは大きく「定義と責任の明確化」「重要情報の所在を明確にし、アクセス権限者を限定」「情報の出口を押さえる」の3項目に分類されているが、特に重要情報の所在とアクセス権限者の限定において実施できていないところが多いという。

内部不正対策と同等に不正アクセスを発見する仕組みが重要であるとして、白濱氏はログ監視ツールによる相関分析を提案した。分析手法を高度化させることにより、セキュリティインシデントだけでなく、業務上の不正などの発見に対応できるとした。

続いて登壇した主任研究員である高橋宏之氏は、内部不正の早期発見に関するデロイトの先進的な考察について発表した。内部不正の早期発見は、外部攻撃に対するログ監視以上に、さまざまな配慮や工夫が必要になるとして、その問題点に「定義が複雑」「不正に利用されるデバイスがさまざま」「一歩間違えると企業や従業員間のトラブル(訴訟など)に進展」「単一のログ(挙動・操作)だけでは不正のあぶり出しが困難」の4つを挙げた。

高橋氏はこれらの問題点に対し、「定義を明確にすること」「内部不正を実行するまでの流れを理解すること」「システムから不正の可能性を絞り込み、社内CSIRTやSOCなど複数の部署で監視を行い、不正が起きたらリアルタイムに直属の上司が現場確認すること」「相関分析とスコアリングによって容疑の高い人物を特定すること」が重要であるとした。

これらの対策のためにあるべき仕組みとして、高橋氏はSIEMなどのログ監視ツールと分析ツールの組み合わせを挙げた。過去のログを分析ツールにより相関分析や可視化を行い、そこから内部不正を想定し容疑者を特定し、SIEMなどのリアルタイム分析や相関分析によって現場を押さえる形となる。中堅・中小の場合はログの蓄積から始めるべきとした。また、同社ではセキュリティとアナリティクスの専門部隊の連携によってシナジーを創出する取り組みを行っているとまとめた。
《吉澤 亨史》

関連記事

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 カテゴリの人気記事 MONTHLY ランキング

  1. Wi-Fiルータを攻撃し、Androidユーザを感染させるトロイの木馬を発見(カスペルスキー)

    Wi-Fiルータを攻撃し、Androidユーザを感染させるトロイの木馬を発見(カスペルスキー)

  2. 自動車ハッキングのリスク 本当のところ - 名古屋大学 高田教授に聞く

    自動車ハッキングのリスク 本当のところ - 名古屋大学 高田教授に聞く

  3. Apache Struts 2 において REST プラグインの実装不備により任意のコードが実行されてしまう脆弱性(Scan Tech Report)

    Apache Struts 2 において REST プラグインの実装不備により任意のコードが実行されてしまう脆弱性(Scan Tech Report)

  4. Windows OS における SMB プロトコルの実装を悪用してサービス不能攻撃が可能となる問題 - SMBLoris(Scan Tech Report)

  5. Git における値検証不備を悪用して任意のコードが実行可能となる脆弱性(Scan Tech Report)

  6. 富士ゼロックスが提供する複数の製品に任意コード実行の脆弱性(JVN)

  7. 「WannaCry」や「Mirai」の亜種や別種によるアクセスが増加(警察庁)

  8. NTT西日本の「フレッツ接続ツール」に任意コード実行の脆弱性(JVN)

  9. 幅広い環境が影響を受けるBluetoothの脆弱性「BlueBorne」に注意喚起(JPCERT/CC)

  10. Microsoft Windows の GDI に Palette オブジェクトにおける整数オーバーフローにより管理者権限で任意のコードが実行可能となる脆弱性(Scan Tech Report)

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×