分かりやすい例に、インターネットの不正送金がありますが、システム上は健全なトランザクションが流れているだけです。それが、本人が意図したトランザクションなのか、そうではないトランザクションなのかという違いです。ユーザーIDとパスワードも正しい。送金の設定も正しい。だから銀行からみると正常なトランザクションが流れただけです。
でも本人ではなかった。本人の意図したものではなかった。この2つを見極めるのは非常に難しくて、例外(アノマリー)を分析することなどが1つのポイントになるかもしれません。例えば、今まで一度もこの送金先にこの金額を送金してないなどを軸とするわけです。結局システム上は正常ですから、そこから悪意を見つけなくてはならない。システムとしてそれを解決するとしたら、そういうものが方法になると思います。
村田氏 ヒューマンエラーの場合は、なぜ起きるのか会社が原因をちゃんと調べて起きないようにする。例えばシステムを壊してしまうようなヒューマンエラーは根絶できると思います。しかし、悪意のある権限者となると、もともと悪意があるか、あるいは職務を遂行しているうちに悪意が芽生えてしまうなど、さまざまです。例えば米国では、会社に入る際に徹底的に身元を調べられます。日本では一部外資系の会社で実施している程度ですが、従業員にどう向き合うかが課題になると思います。
ブルーコートシステムズ エンタープライズ・ソリューションズ・アーキテクト 村田敏一氏特に危機管理が重要な金融機関や、製造業・官公庁などを中心とした顧客企業・組織をサイバー攻 撃の脅威から守るための対策やソリューションを提案している
染谷氏 ベネッセの場合も、もともとは悪意のある人ではなかった。結局、悪意のある権限者という表現をされていますが、世の中で今起きているベネッセ以外のいろいろな内部犯行の事例、国内外で起きているものを見ても、共通項があります。それは「明確な動機がある」ということ――例えばベネッセのケースでは、個人的に借金やトラブルを抱えていました。
それから、これは2014年に米国で起きた事例なのですが、とある会社で契約社員で働いていた方が、正社員として雇ってもらいたいのに雇ってもらえない、空きがないということで断られていました。そして契約満了となって「長い間、ご苦労様でした」という話になったとたんに、その腹いせにバックドアをシステムに仕掛けて情報を抜き取ろうとしました。
また、2014年に国内で発生した内部犯行の事例では、今後自分で外部の人間と新しくビジネスを立ち上げるという目的で、情報を盗み取ってそれを活用しようとしました。
そのために、わざわざデータベースにアクセス権限があることを利用して大量の個人情報を盗んでいただけでなく、今後のビジネスに活用したいからと、わざわざその会社のメールサーバの設定を書き換えて、経営陣に送られてくるメールをすべて自分に転送されるようにしていたという、凶悪な事例がありました。
やはり、悪意のある権限者という表現をされていますが、組織の中に必ず内部犯行候補者が実はいるという前提が必要になってくるということです。不平不満を抱えている従業員がいないか、あるいは個人的にトラブルを抱えている人はいないか、常に怪しい動きをしているような人はいないか。
そのあたりを単純にIT部門だけが機械的に内部犯行への対策をすればいいのではなく、例えば人事・総務部門、あるいは各部門の部門長などと連携して、組織全体としていかに内部犯行の脅威、リスクをつぶしていくか、あるいは立ち向かっていくかという姿勢が、内部犯行に関してはものすごく大事です。