組織&マネジメント強化
NRIセキュアテクノロジーズ
ソフトウェアビジネス三部・部長
橋本 淳 氏
NRIセキュアテクノロジーズは2002年から毎年、日本企業および海外企業の情報セキュリティに関する取り組みの実態調査を行っており、17年目となる2019年の調査(「NRI Secure Insight 2019」)では、3か国(米国、シンガポール、日本)の計2800社以上の企業を対象としたグローバル調査を実施している。
その調査で日本と他の2カ国を比較したという橋本氏は、情報セキュリティが重要な経営課題のひとつになって久しい中、国内企業の課題は、CISO(Chief Information Security Officer:最高情報セキュリティ責任者)を設置し、そのリーダーシップでプロアクティブなセキュリティ対策を行うことだと説明する。
また、他の2カ国と比べてセキュリティ対策に従事している人材が不足していることから、セキュリティ業務の標準化、自動化、省力化を進め、自社注力領域とアウトソース領域を見極める必要がある、と橋本氏は指摘する。
さらに同調査では、自社で最も脅威と捉えている事象についての結果からも国内企業特有の課題が見えてくる。他の2か国では10%台と脅威としては低い認識の「内部不正による被害」が日本国内では51.7%と高く、国内企業においては内部不正対策に関心が高いことがわかる。
内部不正が起きるのは、不正を行う個人的・組織的理由の「動機」があり、不正行為が実行可能な環境や権限を持つ「機会」があり、不正の制限がなく「正当化」できるという3つの条件(不正のトライアングル)がそろったときで、この3つを崩す対策が必要だ。IPAが出している『組織における内部不正防止ガイドライン』では、内部不正防止の基本原則として、「犯行を難しくする」「捕まるリスクを高める」「犯行の見返りを減らす」「犯行の誘因を減らす」「犯行の弁明をさせない」という5つの基本原則が書かれている。橋本氏は、「前者3つには主に技術的対策で、後者2つには主に人的対策で対応できるが、人的対応についてはその人個人のモラルやプライベートの状況に依存する部分もあるため、技術的対策のほうが効果が見えやすい」という。
また、重要な情報資産はクラウドやデータセンターに置かれており、ほとんどがリモートで論理的なアクセスとなるため、特に「特権IDに対するアクセス制御」が重要となるという。ここでいう特権IDは、Rootを持つ管理者に限らず、メンテナンスを行うためのIDも多くの権限があるので注意が必要だ。
たとえば、「犯行を難しくする」「犯行の見返りを減らす」に対する予防的統制について、橋本氏は次のような対策事例とポイントをあげる。
●統制レベル弱:職務に応じたアクセス権の付与と定期的な棚卸し
組織ベースでグループ化を行うと組織変更や人事異動の際のメンテナンスが煩雑となるため、権限ベースでグループ化して管理していくことが重要
●統制レベル中:アクセス権限を行使する際の申請や承認、アクセス制御
紙による申請や承認は形骸化してしまうことが多いので、アクセス制御を強制できる仕組みと連携させることが重要
●統制レベル強:アクセス経路の限定、強力な認証やコマンドレベルでのアクセス制御
重要度の高い資産や高権限者にのみ適用するなど、利便性と運用性のバランスを考慮することがポイント
また、「捕まるリスクを高める」ための発見的統制についても、橋本氏は次のような対策事例とポイントがあると説明する。
●統制レベル弱:個人が特定できるログの取得、申請との突合
最もツールを使って効率化することが可能な領域であり、業務との親和性を考慮する
●統制レベル中:アクセスログのモニタリング
サンプリングではなく、想定されるリスクを検出できるようにロジカルにモニタリングし、外部への説明を可能とすることが重要
●統制レベル強:不審ログの利用者へのヒアリング、モニタリング対象の合理的な絞り込み
利用者へのヒアリングはモニタリングしていることを周知させる効果がある
これらも重要度の高い資産や高権限者にのみ適用し、アウトソースも視野に入れることがポイント
「特権IDに対策を講じることによって、内部不正だけでなく、外部からの攻撃にも対応できる」と橋本氏は話を続ける。たとえば標的型攻撃で内部に侵入した攻撃者は、特権IDを乗っ取って不正を行おうとするが、特権ID対策を行っていれば情報漏えいなどの被害を最小限に抑えることができる。
特権ID管理のソリューションには、ゲートウェイ方式(完全エージェントレス型)、ID棚卸し・貸出方式、クライアント・エージェント型、サーバー・エージェント型の4つがあるが、ゲートウェイ方式が最もバランスがよく、導入や運用が簡単で、アクセス制御やアクセスログ取得などの機能が利用できると橋本氏は話し、特権ID管理のデファクトスタンダードになりつつあると説明する。また、海外製のソリューションのほうが高機能であるが、構成が複雑で使いこなしが難しい。特権ID管理は、運用が極めて重要となるため、国内業務を考慮し、国内ならではの柔軟な対応やサポートを受けられる国産ソリューションのほうをお勧めしたい、と橋本氏は話す。
NRIセキュアテクノロジーズでは、「SecureCube / Access Check」という特権ID管理ソリューションを提供しているが、ガートナーレポートに記載のある唯一の国産ソリューションとして国内シェアNo.1を誇っている。SecureCube / Access Checkは、利用者の把握・特定、アクセス制御の実施、ログの管理・活用といった監査対応の課題と、外部からの攻撃や内部の不正行為に対するセキュリティ対策の課題を解決できるベストプラクティスソリューションとなっている。
お問い合わせ先
情報セキュリティ戦略セミナー
2019 Review
- INDEX -
クラウドシフトが進む中、考慮すべきセキュリティリスクと対策
日立ソリューションズ
原 紫野美 氏
サイバー攻撃の事例から考える!効果的なWebサイトのセキュリティ対策とは
伊藤忠テクノソリューションズ
宮﨑 孝之 氏
パスワード付きファイルも検知可能!サンドボックスを使った最新の標的型メール攻撃対策
クオリティア
辻村 安徳 氏
The Enterprise Immune System:世界をリードするサイバーAI
ダークトレース・ジャパン
寺坂 健太郎 氏
「ポストデジタル時代」のサイバーレジリエンス
アクセンチュア
藤井 大翼 氏
最新サイバー攻撃からみた脅威動向と、『フレームワーク』で考える、いま必要なセキュリティ対策の選び方
キヤノンマーケティングジャパン
西浦 真一 氏
セキュリティ専門家が語る!実効性を担保していく「特権ID管理」術
NRIセキュアテクノロジーズ
橋本 淳 氏
日本中の250を超える公的団体が採用!USBメモリの管理負荷を激減させる、安全で簡単なファイル授受方法とは
プロット
坂田 英彦 氏
情報資産に絶えずつきまとう漏えいリスクにどう対応するか?
デジタルアーツ
足立 真彦 氏
安心、安全、便利にクラウド・モバイルを使うには
丸紅情報システムズ
飯干 尚矢 氏
ジェムアルト
前田 俊一 氏
特別講演
網羅的かつ継続的なIoT機器情報収集活動に対抗するプロアクティブなセキュリティ対策
横浜国立大学大学院
吉岡 克成 氏
サイバー攻撃の動向と対策
東京大学
満永 拓邦 氏
AI共働時代のレジリエンス強化術
~AI創発特性の対処と活用~
国立情報学研究所
安藤 類央 氏
サイバー攻撃による情報漏えい・不正アクセス
~組織の対応と対策で気を付けたいポイント~
JPCERTコーディネーションセンター
洞田 慎一 氏
事業継続を踏まえたCSIRT
日本シーサート協議会
萩原 健太 氏
AI x Cybersecurity
~データドリブンなサイバーセキュリティ研究の最前線~
情報通信研究機構
井上 大介 氏
お問い合わせ先