複数が共有する「特権ID」問題

いくら基本方針のもとルールを定めても、ガバナンスを実効性があるものにしなければ内部不正を防げません。そこで力を発揮するのが「技術」です。

ここでは代表的な例として「特権ID管理」を取り上げてみましょう。OSによって「administrator」や「root」などとも呼ばれる特権IDですが、サーバーにおけるシステムの起動／停止、アプリケーションのインストール、システム設定の変更、データへのアクセスなど、あらゆる操作が可能であり、まさに「特権的」なユーザーに付与されるものです。

「特権ID」が注目される理由は、権限が大きいことです。悪意のある者に使われると情報漏えいやシステム停止など甚大な被害が発生します。しかもシステムの仕様上、こうした「特権ID」を複数で共有している場合は少なくありません。つまり、一つのアカウントを、複数のシステム管理者が使い回ししているケースです。

そのような環境で実際に問題が生じた場合、ログが残っていても、原因などを究明することができません。誰が特権IDを利用していたか記録を残し、相互に監視することで先に紹介した原則にもある「捕まるリスクが高い」環境を構築する必要があります。

例えば、利用者がサーバーを操作する際に、利用申請に応じて特権IDを一時的に貸与し、業務終了後に返却するといった製品があります。特権IDと申請した個人のアカウントを紐付けして、操作履歴をログとして保存することが可能となります。また一つの特権IDに権限が集中するのを避けるため、権限を分散して必要な権限のみ付与する運用方法もあります。

「ログ」をセキュリティー強化のために有効活用する

「特権ID」に比べればリスクは低いですが、組織の一般従業員が業務で情報資産を扱うケースも、山のようにあります。こうした情報漏えい対策においても、「ログの取得」は欠かせません。

USBメモリーやCD-R、スマートデバイスへのコピー、印刷、画面キャプチャ、クラウドへのアップロード、メール送信など、情報漏えいにつながりうる操作はさまざまあります。職務上、操作を許可せざるを得ないシーンは少なくなく、内部不正につながる可能性があるからといって、操作をすべて制限するのは現実的ではありません。そのようなシーンこそ、ログが力を発揮します。

ログを記録しておくことは、「内部不正の抑止」に役立ちます。また万が一事故が発生しても、原因の究明に活用し、ステークホルダーに対する説明責任を果たすことができます。

しかしながら、「ログの取得」が、被害を軽減する直接の手段とはなりません。被害の拡大を防ぐには、「いかに早くログから不正行為を見つけ、対応するか」がポイントとなります。特にデジタルデータは、アナログのデータよりも、コピーや持ち出しが簡単で、拡散してしまえば取り戻すことができない場合もあります。

「ログの記録」ではなく、「記録されたログを有効活用」するには、ログ監視ソリューションなどが有効です。企業に蓄積されるログは膨大な量になり、人間の目で見て、すぐに異常を見つけられる状態とはいえません。しかしログ監視ソリューションを用いれば、膨大なログから必要な情報を見つけやすくなる、異常が検知されればアラートが表示されるなどの機能によって、迅速な対応が可能になります。

内部不正を未然に防ぐには、「動機・プレッシャー」「機会」「正当化」という「不正のトライアングル」を起こさせないための環境作りが大切になります。また、仮に発生したとしても迅速に対処し被害を最小限にとどめるには、内部不正の行為をいち早く検知し、スピーディーに対処するためのツールが有効です。事前対策である「防止」、事後対策である「被害最小化」という、2つの側面から対策を整えることが必要となります。