株式会社NTTデータグループは3月12日、サイバーセキュリティに関するグローバル動向四半期レポート(2024年7月~9月)を発表した。
同社では、顧客やグループ内でのセキュリティ被害抑止を目的にニュースリリースやWebサイト、新聞、雑誌等の公開情報を収集し、セキュリティに関するグローバル動向を調査しており、同レポートはサイバーセキュリティ動向の変化を捉えるために作成している。
同レポートでは注目トピックとして「内部不正による情報漏洩:特徴と求められる対策」を取り上げ、年々巧妙化を続ける内部不正による情報漏えいに関して、実際によくある事例やその特徴を延べ、予防的対策や持続的な防御策として採用することが多い対策を解説している。
同トピックでは、主な内部不正のパターンとして下記を例示している。
1.退職予定の社員が機密情報/個人情報を不正に持ち出す
2.委託社員が委託元企業の機密情報/個人情報を不正に持ち出す
3.産業スパイが機密情報/個人情報を不正に持ち出す
4.複数の社員が結託して機密情報/個人情報を不正に持ち出す
5.期限までに資料作成が終わらないので土日に自宅で作業するために、機密情報を持ち出す
6.会社に恨みがある社員が情報を破壊する、偽情報を流布するなどの嫌がらせをおこなう
また、通常業務と見分けにくい内部不正の手口について、下記の通り事例を整理している。
1.不正に持ち出したい機密情報/個人情報を、通常業務で扱う情報・行為の中に紛れ込ませる
2.一度に大量の情報を持ち出すのではなく、少量の情報を複数回に分け継続的に持ち出す
3.内部不正を検知、制御するシステムやルールの抜け穴を使った手段で実施する
その他、脆弱性「SSVCを用いた脆弱性トリアージ手法の改善」では、脆弱性評価システム(CVSS)の課題として、「CVSSスコアから脆弱性の対応方法がわからない」「計算方法が複雑でCVSSスコアの添削や修正が難しい」「現状評価基準や環境評価基準による再評価が困難」の3点を挙げ、SSVCを活用することで改善できるとしている。
SSVCは、パッチを提供するベンダーやパッチを適用するユーザなどの脆弱性対応を行うステークホルダーごとに脆弱性の優先度や対応方針を決定できるフレームワークで、決定木を使用して脆弱性の影響や緩和策などの要因を評価して、4つの対応の優先度「Defer(対応しない)」「Scheduled(定期対応)」「Outof-cycle(迅速対応)」「Immediate(緊急対応)」を提示する。
1つ目の「CVSSスコアから脆弱性の対応方法がわからない」という問題については、各システムの脆弱性対応の担当者は、SSVCで決定した優先度に沿って脆弱性に対応することで解決する。
2つ目の「計算方法が複雑でCVSSスコアの添削や修正が難しい」という問題については、決定木の導出過程が明示されているというSSVCの特徴により解決する。
3つ目の「現状評価基準や環境評価基準による再評価が困難」という問題については、決定木を使うことで解決する。
