2024年10月30日(水)10:00~11:00に『サイバー攻撃よりも検知が難しい内部不正の脅威、見逃さないために必要な対策とは? ~「端末操作ログ+SIEM」で安心、UEBAがなくても低コスト/高セキュアな対策方法を紹介~』というセミナーをSky株式会社と共同開催しました。今回はその講演内容のポイントについてご紹介します。
デジタル時代に狙われる機密データ、情報漏えいリスクが高まっている理由
近年、DXの推進によりAIや新システムの導入が進み、ルーティンワークの自動化や紙の事務作業の電子化が行われ、データ量が大幅に増加しています。このデータには機密情報や個人情報が含まれるため、外部攻撃や内部不正のリスクが高まっています。
IPAの「情報セキュリティ10大脅威2024」ではランサムウェアが1位で、サイバー攻撃の8割を占めています。犯罪のビジネス化や業務環境の変化が要因で、金銭目的の犯罪グループが役割分担を行い効率的に攻撃を行っています。特に「ランサムウェア・アズ・ア・サービス」により、攻撃ツールがダークウェブで販売され、専門知識がなくても攻撃が可能となりました。これにより、攻撃の増加だけでなく手法も高度化し、特定ターゲットを狙う「標的型攻撃」や「二重脅迫」といった手口が広がっています。
クラウドサービスやリモートワークの普及により、PCの外部持ち出しや組織外部でのデータ保管が増加しています。さらに、取引先やグループ会社を狙う「サプライチェーン攻撃」も増加し、セキュリティが不十分な組織が踏み台として利用されるリスクが高まっています。
2023年7月には海運ターミナルでランサムウェア感染が発生し、システム停止がコンテナ業務に影響を及ぼし、自動車やアパレル業界にも広範な被害を与えました。感染したバックアップデータの復旧や経路特定には多大な時間とコストがかかり、社会的信用も失墜しました。これらのリスクは業種や規模を問わず全組織が直面する可能性があり、ネットワーク全体での万全なセキュリティ対策が求められます。
退職者・転職時の情報持ち出しが増加、内部不正の最新動向と重要な対策ポイント
続いて、内部不正による情報漏えいの被害事例を紹介するとともに、それぞれに関する対策のポイントや対策強化支援する「SKYSEA Client View」の機能などを紹介しました。
内部からの情報漏えい対策には過去事例の学習が重要です。2023年10月、通信会社の子会社で元派遣社員が10年間にわたり900万件の顧客情報を不正持ち出し、名簿業者に販売して1000万円以上を得た事案が発覚しました。2013年にも通信教育会社で3500万件の顧客情報が漏えいし、顧客離れや経営赤字に繋がりました。IPAの調査では、内部不正による情報漏えいは事業に深刻な影響を及ぼすケースが増加しています。
特に中途退職者による営業秘密の漏えいが顕著で、警察庁の発表では営業秘密侵害事件は2013年の6倍に増え、2023年には29件で過去最多となりました。リモートワークの普及により情報持ち出しの機会が増え、転職者の増加に伴い前職情報の不正利用も問題視されています。転職者増加は政府の転職支援制度の影響もあり、今後も続くと予測されます。
組織は、適切なアクセス権限管理や情報持ち出し制限、退職者対応強化を含む対策を講じる必要があります。「不正のトライアングル理論」では、動機、機会、正当化の要因が揃うと不正が発生しやすいとされ、これら要因の排除が対策の鍵です。
「SKYSEA Client View」では、PC操作を15種類に分けてログを収集し、ファイル作成やコピー、Web閲覧履歴などの操作履歴を確認可能です。ログを基にレポートを出力し、傾向分析や不審な操作の特定にも役立てられます。
ログ収集は内部不正の証拠確保や原因究明に加え、サイバー攻撃による情報漏えい時に従業員の潔白を証明する役割も果たします。また、ログ収集の周知により、従業員の行動抑制効果が期待できます。収集したログは期間指定やキーワードで絞り込み可能で、「&」「or」「not」検索に対応し、効率的に確認できます。さらに特定ファイルの操作履歴を追跡し、不審なファイルコピーやGメール送信などの行動を特定することも可能です。
「SKYSEA Client View」のデバイス管理機能により、USBメモリの使用制限や読み取り専用設定を施し、情報漏えいリスクを軽減できます。こうした機能を活用し、日々変化するIT環境の中で現状を見直し、継続的な改善を進めることが重要です。
また、総務省が推奨するPDCAサイクルを取り入れ、最適な情報セキュリティ管理を維持することで、内部不正やサイバー攻撃への対策を強化できます。Sky株式会社は「SKYSEA Client View」のバージョンアップを重ね、これらの課題解決に貢献する製品として進化を続けています。
なぜ、内部不正は起きてしまうのか? 抑止対策における課題を解説
内部不正は社内の機密情報や顧客情報を持ち出し、漏洩させる行為を指し、技術的要因(権限管理の不備やログ管理不足)や人的要因(悪意ある行為やヒューマンエラー)によって発生します。
情報漏えいのルートでは、中途退職者による漏えい、現職従業員の誤操作、ルールの不徹底が全体の8割を占めると、IPAの2020年報告書で指摘されています。実際、退職者による漏えい事例は後を絶たず、ニュースにならない事件も多発しています。これらの要因は悪意、操作ミス、規則の未整備に集約され、組織は適切な権限管理やルール徹底が求められます。
また、内部不正を防ぐためには、5つの基本原則があります。それは、「やりにくくする」「見つかるリスクを高める」「割に合わなくする」「その気にさせない」「言い訳を許さない」です。具体的な対策として「重要情報へのアクセス権限の管理」や「監視体制の強化」「セキュリティ教育」「職場環境の整備」などが挙げられます。これらを徹底することで、内部不正を未然に防ぐ効果が期待できます。
特に監視体制の強化では、アクセスログの収集と管理だけでなく、異変に気付ける仕組みの導入が重要です。こうした仕組みを活用することで、内部不正を抑止し、セキュリティを向上させることができます。内部不正対策を実現するソリューションとしては「UEBA(User and Entity Behavior Analytics)」が広く知られています。
ただ、内部不正対策はその必要性が理解されているものの、経営層の優先課題として捉えられにくい現状があります。また、正当な権限を持つ従業員が通常業務の中で行う不正や、正規の操作に紛れた行為は検出が難しいという課題があります。さらに、高額なソリューションの導入が障壁となっているケースも少なくありません。
そうした内部不正対策における解決策として、当社では、次世代“SIEM”と端末の操作ログ管理製品を組み合わせたソリューションをご提案しています。このソリューションは、アクセスログの収集・分析により異常を早期発見し、内部不正の抑止効果を高めることが可能です。特に、低コストで導入できることから、中小企業にも適しています。内部不正が発生した際は、企業規模に関係なく影響が大きいため、対策の導入が急務となっています。
高価なUEBAがなくても実現、「操作ログ+SIEM」を組み合わせる内部不正対策ソリューションのご紹介
続いて「内部不正対策を実施したいが高額な関連ソリューションの導入が難しい」という悩みを解決し、今ある資産を活かせる方法として「SKYSEA Client View」とSIEM「Sumo Logic」を組み合わせたパッケージソリューションを紹介しました。
「Sumo Logic」と「SKYSEA Client View」を組み合わせたソリューションは、こうした課題を解決するための選択肢として有効です。アクセスログをしっかり収集・管理し、異変に気付ける仕組みを導入することで、内部不正のリスクを軽減します。UEBAのような先進的な仕組みも活用できます。
「Sumo Logic」は、2010年に設立された米国企業で、クラウドネイティブな統合ログ管理やSIEMを提供しています。グローバルで2500社以上、国内では金融機関や証券会社など200社以上の幅広い業種で利用されています。
さまざまなログを収集・分析する統合ログ管理ソリューションとして、ログの可視化や脅威情報との連携、アラート管理などを実現します。同ソリューションが提供する検知ルールや脅威情報を活用することで、異常を検出してトリアージまで対応可能です。
クラウドサービスの場合は、クラウドtoクラウドで直接取り込む仕組みを提供しています。また、オンプレミス環境では、コレクターを利用してログをアップロードします。「SKYSEA Client View」の管理サーバーでは、専用エージェントを導入することでログ連携が可能です。SaaS版でも同様に対応が可能で、どの環境でも柔軟に対応できる仕組みを備えています。
「Sumo Logic」は「Palo Alto」製品やエンドポイントセキュリティ、「Active Directory」「Microsoft 365」など、さまざまなサービスや製品のログを可視化するダッシュボードを提供しています。さらに、必要に応じてテリロジーでオリジナルのダッシュボードを構築することも可能です。
「Sumo Logic」が提供するSIEMはクラウドネイティブで、多くのサービスがマルチクラウド対応になっています。そのため、導入が非常に迅速で、必要に応じて拡張も可能です。また、スモールスタートから始めることもでき、基盤の維持管理は不要です。
また、クライアント端末の操作ログには非常に重要な情報が含まれています。ただし、これを可視化し、新たな気づきを得るには、SIEMの仕組みを組み合わせることで、これまで発見できなかった怪しいユーザーの振る舞いや、不審な行動を検知できるようになります。このソリューションにより、内部不正の抑止につながる仕組みを提供したいと考えています。
具体的には、「SKYSEA Client View」で収集したログを基に、テリロジーが独自のルールを適用し、スコアリングを行います。例えば、大量ダウンロードや無許可のUSB使用などの行動を三段階で分類し、合計スコアの高いユーザーを危険と判定します。これにより、通常の行動に紛れた異常を検知できます。
さらに、ユーザーのスコアを詳細に分析するダッシュボードを備えており、特異な行動や退職者の行動履歴、端末の回収漏れなどを確認できます。過去3ヶ月間の行動履歴を分析し、不正の兆候を見つけることも可能です。稼働状況の可視化機能を活用し、勤務時間外の操作や稼働率の低いユーザー、YouTubeでの長時間視聴などを把握できます。これにより、内部不正の抑止や業務効率の向上に役立てることもできます。
実際のセキュリティ運用ではさまざまなアラートや怪しいユーザーが検知されるケースがあります。テリロジーでは「MSS(Managed Security Service)」によるご支援を展開しています。例えば、怪しいユーザーやメールが検知された場合、調査を実施し、結果を報告するほか、月次レポートを提供するサービスもご提案しています。
このように「Sumo Logic」と「SKYSEA Client View」を組み合わせることで、内部不正に関連する構造化されたログ管理や、不正行為の抑止が可能となります。また、問題行動を早期に検知でき、既存の資産である「SKYSEA Client View」を活用することで、コストを抑えた対策が実現します。さらに、MSSと連携することで迅速な対応や調査が可能となり、セキュリティ体制を強化できます。
「Sumo Logic」と「SKYSEA Client View」の組み合わせを多く手掛けておりますので、何かございましたら、ぜひ当社にお声がけください。
株式会社テリロジー クラウドセキュリティ事業部 宛
Email:cloudsolution@terilogy.com
TEL: 03-3237-3291
