適切な統制を用意する
統制の枠組みは、どのような脅威に対するものであったとしても、管理面からの統制と物理的統制、技術的統制から構成されていなければならない。また、統制は全体的に、職務の分離や、権限の最小化、知る必要性といった原則が強制できるようになっているべきだ。こういった原則のいずれかをないがしろにすると、内部関係者による脅威という避けられない脅威に対処する能力が弱まってしまうのである。
管理面からの統制
ポリシーによって基礎が固まる。マネジメントの意向を明記することには2つの目的がある。第1の目的は、容認される行為と容認されない行為を、そして容認されない行為がもたらす結果を全従業員に明確に伝えるというものだ。第2の目的は、明確に記述された標準やガイドライン、手続きによって同僚や部下、上司の怪しい行為を全従業員が洗い出せるようになるというものである。ポリシーによって、容認される行為が定義されるため、全従業員は不正行為を見分けられるようになるわけだ。
ただし、ポリシーが持つこの2つの目的は、全従業員がマネジメントの期待に気付くとともに、日々の作業環境におよぶ影響を理解した場合にのみ達成される。こういった条件を満足させるには、セキュリティ教育と、継続的な気付きを誘発する行為が必要となる。
物理的統制
物理的統制によって、権限のない者の行動を阻んだり、遅らせたり、検出したり、それに対処したりすることが可能になる。また、物理リソース(サーバやルータ、スイッチなど)にアクセスできる人員や、アクセスできるタイミングも統制できるようになる。なお、こういった統制を電子化すれば、物理的なアクセスに対するログ情報の取得や、ほぼリアルタイムでの監視も可能になる。
多くの組織において、物理的なセキュリティはセキュリティチームの関与していないところで管理されている。とは言うものの、セキュリティマネージャーがこれを無視してよいわけではない。たいていの場合、情報リソースに対する物理アクセスによって、技術的統制は回避できてしまうのである。このため、物理的なセキュリティのギャップ分析を実施することが、物理的統制を導入するうえでの最初のステップとなる。
技術的統制
技術的統制にはID管理や認証、認可、アカウンタビリティが含まれている。こういった統制を組み合わせることで、以下のようなアクセス制御が可能となる。
- ID管理によって、人員やコンピュータそれぞれに対して、認証手続きや認可手続きに使用される重要な属性一式が与えられる。またIDにより、社内の場所を問わず、対象(リソースにアクセスを試みるエンティティ)のプレゼンスを管理、追跡できるようになる。
- 認証は、エンティティが誰であるか、あるいは何であるかと主張しているのかを確認するためのプロセスである。一般的な統制には、パスワードや生体認証、スマートカードが含まれる。
- 認可は、対象に与えられた属性を用いて、何にアクセスできるのか(知る必要性)や、アクセスするものを用いて何ができるのか(最小権限)、いつアクセスを許すのかを判断するプロセスである。また認可によって、責務の分離(静的な、あるいは動的な)が強制される。責務の分離により、あるビジネスプロセスに関連付けられているタスクすべてを、単一の対象だけで実行できないようにするわけである。
- アカウンタビリティによって監査や監視が可能になるとともに、重要なリソースにアクセスした対象や、アクセスが行われた日時、実際に行われたことをセキュリティチームが確実に把握できるようになる。また、認可されたアクセスの監視を行うだけでなく、認可されていないアクセスが一定回数以上試みられた場合、セキュリティチームに緊急連絡が入るようにもしておくべきである。
責務の分離と最小権限は、内部関係者の行動に対する2つの主な制約となる。例を挙げると、責務の分離と最小権限を実践している企業で、給与担当の事務員が詐欺行為を働くのは困難である。事務員は従業員レコードの変更と、勤務時間に関する情報の入力、給与の承認、小切手の印刷/資金の電子移動、支払いの受け取りや分配のすべてを1人でできるようにはなっていない。こういった作業すべてをこなすには共謀行為、つまり窃盗行為に他者を巻き込む必要があるというわけだ。
責務の分離におけるもう1つの例は、開発者が製品に新たな、あるいは改ざんしたアプリケーションを紛れ込ませられないようになるというものである。コード変更はどのようなものであっても厳格かつ綿密に管理された分散型変更管理システムによって統括されるべきだろう。これにより、開発者や管理者が会社に損害をおよぼすようなコードを製品システム内に紛れ込ませられないようになる。
最小権限を見極める際には、モバイルストレージ機器(USBメモリやノートPC、スマートフォンなど)への情報のコピーを会社として許すべきかどうかについても検討してほしい。従業員の誰もが社内の信頼境界から情報を持ち出せるようにしておく必要が本当にあるのだろうか?同様に、従業員がオフィスにいる間に個人使用の電子メールアカウントや、ファイル転送サービス(TransferBIGfiles.comなど)にアクセスできるようにするという場合、そのリスクはどれほどあるのだろうか?実際のところ、その答えは環境によって変わってくる。