北村氏:以前にインターネットの私的利用が問題になったときから、社員に対する啓発や警告をしていますので、通信を監視されているとか、そういうことが結構根付いていたり、社員一人ひとりが意識していると思います。ただ、やっぱりハイレベルになると、たとえば通信上のパケットを盗み出す、モニターする。そこまでやられると全然わかりませんよね。後は本当の権限者、Adminみたいな人たちにやられると確かにわかりませんし。
大成建設 社長室 情報企画部部長 Taisei-SIRTリーダー 北村達也氏
堤氏:どの程度ウォッチしているかは一概に言えないのですが、大抵は運営側で気付きます。ランクやレベル、パラメータの不正はユーザーも細かく見ており、運営側とユーザーの両者の目を欺くのは難しいと思います。
さらに、不正の発生要因である動機、機会、正当化のうち「機会」の低減ができると良いと考えています。具体的には「こういう仕組みで安全性を図っています、こういうところでログを取っています」ということを広く示して、不正の実行を難しくして思い止まらせる環境を構築できればと思います。
村上氏:権限の設定を使うサーバや、MSのサーバも含めてですが、一人の管理者権限で全部できるようにしているのであれば多分、この悪意のある人の行為は見つけにくいでしょう。管理権限を設置する人と、その役割ができる人をきちんとロールを分けるとか、最少の特権と権限をきちんと分離できるような運用ができていれば、どこかでそれが発覚する仕組みとして機能すれば見つかりやすい。二人で共謀したらダメですが。
茂岩氏:そこで管理者が複数いると、こっそりやってしまうという部分はあるので、相互監視のような仕組みが大事ですよね。本当にやりたいということであれば、その権限をスイッチした瞬間にみんなにメールがいくような。私たちもそのようにセキュリティ用途のサーバ運用をやっているのですが、rootになると関係者全員にメールが来ます。なぜrootになったかという理由を部内に返信する。それが根付いてきたら多分、変な気は起こらないですよね。
バンダイナムコ エンターテインメント 事業推進室 総務部 危機管理課 アシスタントマネージャー 堤光伸氏
北村氏:管理サーバなどでも、特定のPCからしかアクセスできないようにすれば端末を特定できます。一番ダメなのは、管理サーバにどのセグメントからでもアクセスできるようになってしまっているケースです。このようなケースでは、悪意のある行為としてやられたのか、マルウェアが混入して操作をされているのか、調べようがないので困りますよね。
特にデータベース系はそういうことをやりやすい。例えば通常はアプリケーションサーバからデータベースにアクセスする。そこで、サーバを介さずにPCから直接入ったアクセスについては全部チェックをして、これはなんのために入ったかということを毎週洗い出してチェックしています。当然その業務自体でのけん制もかかるし、社内のシステムについては統制ができるのですが、お客様の情報を預かって、それがファイルサーバにあるとなると、非常に難しい。ではデータがどこに置いてあるかというと、現場に置いてあったりします。そこは課題です。