内部不正による情報漏えい事件がもたらした教訓~企業が取り組むべき「セキュリティ対策の棚卸し」を考える~ - (page 2)

ZDNET Japan Ad Special

2015-03-06 18:35

2015年は、社内セキュリティをゼロから考え直す年ではないか。多くの企業は今、内部犯行による情報漏えい対策の見直しを迫られている。そこで今回、デロイト トーマツ リスクサービス代表取締役社長丸山満彦氏に内部犯行が引き起こす大規模情報漏えいの傾向と、効果的な防御策について聞いた。

怒賀内部不正を防止し、堅牢なセキュリティを実現するためには、どのような手段が有用でしょう。

丸山内部不正防止対策で重要なのは、「悪事は必ず露呈する」という仕組みを構築することです。アクセス制御を徹底すれば、権限のない利用者は情報にアクセスできないのですから、ほとんどの不正アクセスは防止できます。

 しかし正規の権限を持った人物が不正を働く場合は、アクセス制御では防ぎようがありません。これを防止するには、統合ログ解析やセキュリティ・オペレーション・センター(SOC)を設置し、アクセス権のある人物であっても通常とは異なる操作をしたり大量のデータを移動させたりした場合にアラートを出す仕組みを構築することです。これは、誤操作を防止すると同時に、システム側ですべての操作を監視していることを知らせる手段でもあるのです。

怒賀「あなたがどんな操作をしているのかをシステムは把握していますよ」と伝え、不正行為の抑止力とするわけですね。もう1つの課題は、アクセスしている人物が「本当に権限のある人物が操作しているのか」を確認することです。現在、企業で幅広く利用されているID/パスワード認証は、操作者の特定に限界があると言われています。この点についてはいかがでしょうか。

丸山ID/パスワードについては運用側にも問題があります。よく指摘されていることですが、「パスワードの使い回し」は危険です。また、IDカードも部署内で共有するなど、運用面での課題が指摘されています。こうした課題を解決するためには、複数の認証方式を組み合わせることです。

 現在の認証方式として「パスワードなどによる記憶認証」「IDカードなどの持ち物による認証」、そして「静脈や虹彩、指紋などによる生体認証」が挙げられます。それらを組み合わせることは、セキュリティ強度の向上おいて有効な手段です。

怒賀生体認証は、「本当に権限のある人物なのか」を特定する手段として強いですね。ただ、比較的普及している体表情報による認証の場合だと対応率が100%ではない。

丸山だから結局、せっかくPCのログインにその生体認証を採用しても、認証が通らない社員への対応策として、NGだった場合はIDとパスワードでログインできる個別対応を追加したりする。セキュリティを強固にするための「生体認証"and"パスワード」ならいいですが、それが「生体認証"or"パスワード」になる。基準がandでなくorになれば、もちろんセキュリティ強度は低い方のレベルまで低下します。

怒賀静脈認証なら体内情報を利用しているので、認証精度が高く、対応率が高いと言われています。しかし従来の製品は高コストなものばかりで、特定用途を除いてあまり普及していません。ここにきて、ようやく現実的なコスト感になってきた、というところです。

丸山例えば"重要な情報にアクセスする端末を使い分ける"ことは、セキュリティの観点から非常に有用で、その端末のログイン認証に静脈認証を導入するということも効果的でしょう。

 「漏れては困る情報を扱う作業は、檻の中でやる」という発想で、こうした端末は、インターネットに接続せず、外部記憶媒体へのデータコピーもできなくするわけです。

 とはいえ、多少のコストを払っても、それに見合うメリットがあるのなら静脈認証システムを導入すればいい。

 例えば自治体のように公的な個人情報にアクセスできる端末には強固なセキュリティが必要なのは言うまでもありません。同様に、金融機関でも取引データにアクセスできるような端末には、「万が一情報が漏えいした場合」の経営リスクを考慮し、コスト高になったとしても強固なログイン認証を導入するほうが、得られるメリットは大きいと思います。

怒賀最後に、今後3年以内で発生しうるセキュリティ・インシデントはどのようなものがあると予測しますか。

丸山今後はモノのインターネット(Internet of Things:IoT)の普及に伴い、IoTを狙った攻撃が台頭するでしょう。すべてのモノがインターネットに接続されることは、攻撃対象となるデバイスが増加することです。つまり企業は守るべきモノを多く抱えることになる。

 攻撃者は、多種多様なデバイスで脆弱性のある一点を突破すればよいのですから、攻撃者のほうが有利です。一方、守る側の企業は、誰が、どこを突いてくるのか分からない。攻撃者の情報収集にも苦労するはずです。こうした状況で少しでもリスクを軽減したければ、すべての端末について、ログイン認証のありかたを再考する機運は確実に高まるはずです。

怒賀ありがとうございました。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]