Comments
Description
Transcript
IPA テクニカルウォッチ 組織の内部不正防止への取り組み
IPA テクニカルウォッチ 組織の内部不正防止への取り組み 2012 年 3 月 15 日 1 IPA テクニカルウォッチ:『組織の内部不正防止への取り組み』に関するレポート 目次 組織の内部不正防止への取り組み はじめに ................................................................................................................................ 3 1. 2. 国内外の取り組み .......................................................................................................... 3 1.1 CERT Insider Threat Study Team の活動 ........................................................... 3 1.2 国内の動向 ............................................................................................................. 6 犯罪心理学の理論 ........................................................................................................ 7 2.1 ルーティンアクティビティ理論(日常活動アプローチ) .................................................. 7 2.2 状況的犯罪予防の理論 ............................................................................................. 8 3.内部不正防止のための方策の検討 ................................................................................. 10 3.1 内部不正と内部者の定義 ......................................................................................... 10 3.2 聞き取り調査の概要 .................................................................................................. 11 おわりに .............................................................................................................................. 12 参照文献 ............................................................................................................................. 12 2 組織の内部不正防止への取り組み はじめに 組織の内部者の不正を原因とする情報セキュリティインシデントは依然として発生しており、 看過することはできない。日本ネットワークセキュリティ協会(JNSA)が実施した 2010 年の情 報セキュリティインシデントに関する調査によると、個人情報漏えいに関するインシデントのう ち、内部者の不正によるものは、発生した件数は少ないが、1件あたりの個人情報流出数は、 第1位の不正アクセス(138,492 人)に次ぎ多く(78,457 人)、発生時の影響が多大であること がわかる。このような状況に対して、外部からの攻撃者と異なり、内部不正者は情報取り扱い 権限の取得が容易であることが多いため、技術的な対策には限度がある。内部不正を防ぐ ためには、内部不正者が不正行為を働く動機や、背景などの特徴を明らかにすることにより、 その対策を講じる必要がある。本レポートでは、これまでの国内外の取り組みとして、米国の CERT の活動と、国内における活動を紹介する。また、IPA が不正防止対策を図るために、 行った聞き取り調査についても紹介し、今後の取り組みの必要性を述べる。 1. 国内外の取り組み 情報セキュリティの観点から内部者の脅威(Insider Threat)に注目した取り組みのうち、 米国 CERT の Insider Threat Center(以降 ITC)1が最も充実している。本章では、ITC の 活動と、国内で 2010 年に公表された日本の調査について紹介する。 1.1 CERT Insider Threat Study Team の活動 2001 年ごろから「内部者の脅威」(Insider Threat)が注目されている。特に、ITC は、 2001 年より、活動を開始し、政府機関や大学などからのサポートを受けつつ今日まで、継続 して「内部者の脅威」に関する数多くの資料を公表している。表1に ITC の活動の歴史を示し た。2002 年には、DoD、米国シーレットサービスと共同で 1996 年から収集した内部犯行の 事例を 150 件収集し、重要インフラや金融部門などを含む特定部門の事例分析を行い、ベ ストプラクティスを公表している。また、2007 年には、カーネギーメロン大学と、100 件の事例 を加えた報告書を公表している。これらの事例分析に対し、内部不正者のふるまいをシステ ムダイナミクス的2にとらえた MERIT モデル3 を適用し(2008 年)、内部者による特徴的な傾 CERT Insider Threat Center、http://www.cert.org/insider_threat/ モデルと事例集 を基盤にし、研究、実験、成果普及の3つのチームからなる。 2 時間などの動的に変わるシステムのふるまいをモデル化する手法 3 MERIT:Management and Education of the Risk of Insider Threat 3 1 向や要因分析に役立つ類型化が検討されている。なお、ITC のホームページによれば、3 月 12 日現在収集している事例数は、700 以上である。 表 1 ITC の内部者脅威への取り組みの歴史 出典: The CERT® Guide to Insider Threats[2]を参考に IPA が邦訳・作成 年 主な活動テーマ 2000 初期の研究 米国国防省(DoD)の支援により、軍と国防を対象とした研究がされた。 2001 内部者の脅威の調査 シークレットサービス、CERT の共同プロジェクトが開始された。DHS 研究の開始 (Department of Homeland Security)が 2003,2004 年の予算措置の支援をし た。金融分野、IT 分野、政府分野、重要インフラ分野に焦点を当てた報告書を 公表。 2001 内部者の脅威データベ 上記のシークレットサービスとの共同研究の成果をデータベース化した。その ースの構築 後、維持には、カーネギーメロン大学(CMU)の Cylab が支援した。2009 年は、 4 DHS の FNS(Federal Network Security)部門がこのデータベースのスポンサー になる。 2005 2005 2006 2006 ベストプラクティスの提 「内部不正の防止と検出の共通的なガイド」を発行(Cylab がスポンサー)した。 供 現在は DHS FNS がスポンサーで、ベストプラクティスが提供されている。 システムダイナミクスに 内部脅威者のふるまいを、システムダイナミクスとしてとらえた MERIT よりモデル化 (Management and Education of the Risk of Insider Threat)モデルを公表 オンサイトワークショッ 内部者脅威の防止、リスク分析についてのワークショップを、組織などからの プの開催 希望により、オンサイトで開催。 双方向の仮想シュミレ MERIT モデルの双方向シミュレーションツールを公表。 ーションツール 2007 内部脅威の分析 130 分類 4000 の内部脅威分析項目を発表。 IT セキュリティ、HR(人事)、ソフトウエア開発、法律、データ保持者、物理セキ ュリティの分野における文書を公表。 2009 年に DHS FNS がこの分析プロセスを評価し、スポンサーとなった。 2008 内部脅威 ラボ設立 CyLabによって“insider threat lab”が設立され、内部犯行を防ぐための技術対 策の評価などが可能となった。DHS FNS がその環境を利用することを支援し ている。 2010 内部脅威 訓練 内部犯罪 防止のためのシュミレーション訓練を可能とする環境を設置した。 現在政府や産業界にワークショップなどで提供されている。 2010 内部脅威 調査 DHS S&T(Science & Technology)、シークレットサービス、DoT(Department of 金融セクター Treasury: 財務省)と共同で再度、金融・銀行領域の調査を開始。 2003 年に設立されたサイバーセキュリティーに関する研究所。 http://www.cylab.cmu.edu/ 4 4 ITC では、内部犯行の定義と 3 つの類型を示している。内部犯行の定義は、以下の 3 条 件を満たす犯罪としている。 ① ② ③ 現在もしくは過去の社員、その他の被雇用者もしくはビジネスパートナーで、 組織の IT システム(ネットワーク、システム、データ)への正規に認められたアクセ ス権を持っている、もしくは持っていた者が 意図的にそのアクセス権を用い、組織の情報の機密性、完全性、可用性に対し て負の影響をもたらした者 また、これらで定義した内部犯行は、以下の 3 つの類型に分類できることが示されている。 ① ② ③ システム悪用(Insider Fraud) - 組織の財やサービスをごまかし(deception)やぺ てん(trickery)で手に入れる 破壊 (Insider IT Sabotage) - 特定個人、組織(含む組織のデータ、システム、日 常業務)に損失を与えるという意志に基づいた悪意ある行動 情報の持ち出し(Insider Theft of Intellectual Property) - 機密や知財に関連す る情報などを組織から盗み出す 以下に、3つの分類の特徴を示す。 ① システム悪用(Insider Fraud) · · · しばしば内部者の金銭的問題が関係する。 1/3 のケースで、外部の手引き者が存在した。情報改ざんについては、同僚がおぜ ん立てすることが多い。 内部脅威者のストレスを引き起こすものが観察される。(例えば借金、家族問題等) ② 破壊(Insider IT Sabotage) · · 内部脅威者は、情報窃取のリスクに関連する個人的な傾向(personal predispositions)をもつ。たとえば、期待に反した待遇(報酬、昇進、オンライン活 動への自由、倫理感、プロジェクト期限等他)についての不満を持っている。 組織を辞めた後に侵入可能なように、アクセス経路を作っていることが多い。 前兆があるが、ほとんどの場合、組織は技術的な前兆を見落としている。 管理者は、前兆を見逃がさないようにモニタリングをすべきで、そのようにポリシーを 策定すべきである。 信頼(Trust)は、リスクを軽減する。 ③ 情報の持ち出し(Insider Theft of Intellectual Property) · IP を金銭目的で売ろうとするものは少なく、むしろ、転職や起業などの際の自己の ビジネスの優位のため、また、外国政府などへ持ち出す。 IP を盗む者は、たいてい、科学者、エンジニア、プログラマーやセールスパーソン である。 5 · · · · · 盗む対象は、通常の業務で扱っている情報が多いので、これを防ぐのは困難であ る。 転職、処遇などの組織への不満、肩書などはすべで情報を盗む意思決定に影響 する。 情報は、さまざまな手法を使い、退職から 1 か月以内に盗まれている。 退職の 1 か月前と 1 か月後の合わせて 2 か月のモニターが必要である。この間の 外部とのやり取りをすべてログしておくべきである。 · · · これらの特徴を見ると、技術的対策では対処することが困難な内部者の不満の軽減や監 視の必要性が浮かび上がってくる。 1.2 国内の動向 国内における事例に基づいた分析として注目すべき文書は、財団法人 社会安全研究財 団5 より 2010 年 3 月に公表された「情報セキュリティにおける人的脅威対策に関する調査報 告書」である。 本報告書は、ITC の成果を紹介するとともに、国内における内部犯行の実態 を調査している。また、ITC の調査項目を参考に、兵役の有無など日本の社会風土になじま ない設問を削除し、必要となる項目を新たに追加し調査票を作成し、警察機関の有する事 件資料による詳細な事例調査を行なっている。この調査では、ITC によって定義された内部 犯行の定義の「情報の持ち出し(Theft of Intellectual Property )」を犯行の目的から「道具 的な犯行」と「表出的な犯行」に詳細化している。道具的な犯行とは、「情報セキュリティの違 反行為が金銭的な利得を得る、換金のための情報を獲得するといった目的に沿った合理的 な手段としての犯行」であり、表出的な犯行とは、「蓄積した不満の発散や嫌がらせ、情報を 把握することで心理的な優位性を保つなど、心理的満足のための情報セキュリティ違反行為」 であると定義している。 また、犯行のプロセスを含み内部犯行の特質として、犯行誘因・犯行抑止誘因(個人的資 質を含む)、犯行が行われた環境(人間関係を重視)、犯行が行われる時間的状況(課程、 在職中、退職後)を明らかにするために、収集した 30 事例について多次元尺度法による事 件の類型化を行い、「個人の資質」「企業風土・文化」「動機の形成」から犯行に至るまでの流 れについてのモデルケースを提示している。これらの調査と、犯罪心理学におけるルーティ ンアクティビティ理論を適用し、「動機づけられた犯罪者」、「潜在的な被害者」、「監視性の 低い環境」が重なった際に犯罪が発生すると想定し、以下の対策を提言している。 ・入社前:短期間に繰り返し転職している、履歴書に虚偽がある、経済的な問題がある、一見 して輝かしい経歴などに注意が必要である。 ・在職中:職場全体の良好なコミュニケーションが必要、抑止システムの整備、兆候の把握が 必要 ・退職期:コミュニケーションが重要、アカウントの無効化。 5 http://www.syaanken.or.jp/index2.html 6 ・退職後:退職後もモニターが必要であることを認識すべき。 また、システムの運用対策として、「複数の者で担当する」「システムへのアクセス権限を適 切に管理する」「実際の業務に当たっても一人に任せきりにしない」「チェックシステムを導入 しておく」などを提案している。 2. 犯罪心理学の理論 不正行為者が、その置かれた環境との相互作用に影響されることを前提とし、その環境に ついて一定のパターンを分析、導出できれば、その結果を予防に利用できると考えられる。 本章では、このような不正行為者の行動とその環境などに予防の観点をおいた犯罪心理学 の理論について解説する。なお、前述した ITC や国内の調査報告の中でも、犯罪心理学が 援用されている。 2.1 ルーティンアクティビティ理論(日常活動アプローチ) 犯罪心理学では、集団や犯罪行為に影響を与える犯罪者の行動と心的プロセスを分析して いる。図1に示すのは、犯罪の三角形といわれるものである。 ルーティンアクティビティ理論 は、内側の三角形の以下の 3 つの要因が重なった場合に犯罪が発生するとする。 · (動機づけられた)犯罪者 · (潜在的な)犯行対象物 · (監視性の低い)場所 犯罪を未然に防ぐためにはこれらを同時に起こさないよう、外側の三角形で表現している 3 要素「監視者」「行動規制者」「管理」が必要であることを示す。 図 1 犯罪の三角形 (出典)社会安全研究財団:「環境犯罪学と犯罪分析」より引用 7 2.2 状況的犯罪予防の理論 ルーティンアクティビティ理論では、違反者の意図や目標対象に対して、外部からのコント ロールや抑止が困難な場合もある。一方で、監視者の設置などによって外部からのコントロ ールを可能な「環境」を適切に定めることを主眼として犯罪機会の低減、予防する研究に、状 況的犯罪予防の理論がある。状況的犯罪予防とは、「ある特定の犯罪問題を削減するため の、極めて実践的かつ効果的な手段6」と定義され、犯罪に関連する多くのプロセスや要因 について予防するための方策を検討するために用いられる。現在、状況的犯罪予防として、 表 2 に示す 25 項目の技法が以下に示す 5 つの分類により示されている。 ① 犯行を難しくする ② 捕まるリスクを高める ③ 犯行の見返りを減らす ④ 犯行の挑発を減らす ⑤ 犯罪を容認する言い訳を許さない 表 2 では、状況的犯罪予防理論の各項目と対応する情報セキュリティ対策の例を示してい る。 6 社会安全研究財団:「環境犯罪学と犯罪分析」 8 表 2 状況的予防における 25 の技法と IT セキュリティ対策の例 (出典)5 カテゴリ 25 分類は、社会安全研究財団:「環境犯罪学と犯罪分析」 P191 を参考とし、 セキュリティ対策の例を IPA 作成 5 カテゴリと 25 分類 IT セキュリティ対策の例 犯行を難しくする 対象を防御的に強化する スクリーンロック、アクセス制御、パスワードポリシー、物理チェーンロックなど 施設への出入りを制限する 登録者のみの入場、手荷物検査など 出口の検査 登録者のみの退出、手荷物検査、メールや秘密パスの検査 犯罪者をそらす 通路、出入り口の閉鎖、金属探知機 道具や武器を制御する 非登録の PC/USB メモリの持ち込み禁止、携帯電話禁止、メール・ネットの利用制限・禁止 捕まるリスクを高める 監視者を増やす 複数人での作業環境、特権階級の分散化、個人情報売買の監視、防犯ベル 自然監視を補佐する 守りやすい空間設計、オフィスのフリースペース化、投書箱による密告者のサポート 匿名性を減らす IC カードや社員証バッチの携帯、名前が判明可能な ID による管理 現場管理者の利用 CCTV(監視カメラ)の設置、機密情報への複数人での操作、アクセスログの監視 フォーマルな監視体制を強化する 侵入等警報装置、警備員 犯行の見返りを減らす 標的を隠す(存在がわからない) 電子ファイルのアクセス権限の設定、電子機器の保管手法 対象を排除する(存在をなくす) 電子ファイルのアクセス権限の設定、紙の廃棄、溶解処理 所有物の特定 PC に登録シールをつける、ファイルや紙データに管理 ID を付ける 市場を阻止 情報売買の規制、許認可等 便益を与えない ファイルの暗号化、情報にノイズや電子すかしなどを挿入 犯行の挑発を減らす 欲求不満やストレスを減らす 職場での円滑なコミュニケーションの推進、適切な人事・作業管理など 対立(紛争)を避ける 職場での円滑なコミュニケーションの推進、適切な人事・作業管理など 誘惑や興奮の低減 職場での円滑なコミュニケーションの推進、適切な人事・作業管理など 仲間からの圧力を緩和する 職場での円滑なコミュニケーションの推進、適切な人事・作業管理など 模倣犯を阻止する インシデントの手口の公表を慎重にする、インシデントの証跡を残さないなど 釈明させない 規則を決める 情報セキュリティポリシの策定、管理・運用策の策定、就業規則、雇用契約など 指示を掲示する 情報セキュリティポリシの掲示、管理策の掲示、就業規則の掲示など 良心に警告する ルール順守への自己サイン、持ち出し厳禁等の表示 遵守を補佐する PC/USB 持ち出し手続きの簡素化、シュレッダーの設置など 薬物・アルコールを規制する 職場での飲酒禁止、アルコールなしの行事 9 3.内部不正防止のための方策の検討 これまで述べた ITC の成果や、社会安全研究財団の調査研究は、内部犯行を防ぐために 多くの示唆を与えている。しかし、これらは悪意を持ったものを対象としているものであり、犯 罪のケースを対象として調査したものである。一方、国内の組織などでの情報漏えい事案な どをみると、情報セキュリティの内部の不正者によるルール違反等は、必ずしも悪意を持って いないものによるものであることや、犯罪として立件されないものも多い。このため、これまで 述べた既存の研究、調査、成果を参照しつつ、国内の事案に沿って組織のルール違反行 為を犯す内部不正者に焦点を当てた防止策が必要である。 IPA では、内部不正と内部者を改めて定義し、組織の IT システム・情報をセキュアに維持 し、経済活動を遂行できるような不正防止のための対策立案の取り組みを開始した。本章で は、この取り組みのための基礎調査を紹介する7。 3.1 内部不正と内部者の定義 ITC による定義や国内の既存調査を参考にしつつ、本報告では、情報セキュリティインシ デントとの関連を考慮し「内部者」と「内部不正」を以下のように定義する。特に、内部者につ いては、企業・組織における情報セキュリティ対策の適用を考慮し、ビジネスパートナーを含 み組織に関連する者すべてを対象とする。 7 基礎調査の結果の詳細な資料は後日発表する。 10 3.2 聞き取り調査の概要 不正行為に至る要因を分析するために、内部不正の実態を 20 のインタビューと 10 の判 例を基に調査した。内部不正の事例は、公開されないことが多く、主にインシデントに関わっ た調査員、企業の CISO、法律家などから情報を入手した。20 のインタビューのうち、未遂を 除く 19 の例について「監視性」「不正行為者」「不正行為の動機」「不正行為の対象」に分類 したものを図 2 に示す。ここで、監視性とは、互いが意図的に監視しあう場を意味するのでは なく、複数人が同じ職場に複数人が常に存在する環境であるなどを意味する。図に示すよう に、不正行為は、7 割以上が監視性の低い職場で起きている。対象は、顧客情報が多い。ま た、動機は金銭が最も多く、次に組織への不満・転職を優位にするであった。不正行為者に は、一般社員が最も多いが、組織の人数構成を考慮すると、システム管理者の割合が高いと いえる。 監視性 低い:74 対象 高い:26 社内情報 開発情報 ID・パス 物理 16 10 ワード16 装置5 顧客情報:53 動機 金銭 32 不正行為者 組織への不満 26 情報 16 システム 管理者21 一般社員 58 0% 20% 40% 60% 転職を 優位にする 26 開発者 その他 16 5 80% 100% 図 2 インタビュー結果による内部不正の状況 (n=19) また、図示してないが、判例による調査結果については、不正行為の動機については「転 職や起業に有利にしたい」ケースが 6、「有利に業務などを実施したいケース」が 4 であり、法 的な係争に至ったケースを物語る。また、対象情報は、「開発情報」と「個人情報」がそれぞ れ同数で 5 であった。 このインタビュー調査のサンプルは、全体で 20 であり、全体の傾向を判断するには信頼 性は高いとは言えない。しかし、監視性などの環境要因や、組織に対する個人の意識などが 不正行為の発生に影響を与えているのではないかと推測できる。 11 おわりに 情報セキュリティインシデントを引き起こす組織の内部者のルール違反(内部不正)を防ぐ ための方策を検討するために、国内外の研究・調査の動向を紹介した。海外では、米国が 政府機関等の支援を受け継続した情報収集と分析を実施し、成果を上げている。また、国内 では 2010 年に犯罪心理学を援用した研究の報告書などが発表されている。これらの研究は、 「悪意をもった」「犯罪」行為を対象とした調査をもとにしており、通常の組織のルール違反に ついては調査・研究対象となっていない。企業・組織で発生する情報セキュリティインシデン トは、ルール違反やうっかりミスによる内部不正も多いため、IPA では、これらのインシデント も対象とし、内部者の不正行為を防止するための調査を開始している。本報告では、聞き取 り調査の結果を紹介したが、IPA では、今後聞き取り調査によって推測される仮説を検証す るための調査などを通して、内部不正を防ぐための組織の対策を具体化していく。 参照文献 1. 2. 3. 4. 5. 6. 7. 8. 9. 情報セキュリティにおける人的脅威対策に関する調査研究報告書、財団法人社会安全 研究財団、平成 22 年 3 月 D.Cappelli, A.Moore, R.Trzeciak,”The CERT® Guide to Insider Threats”,Addison-Wesley,2012.2 Comparing Insider IT Sabotage and Espionage: A Model-Based Analysis, p.vii, Computer Emergency Response Team Coordination Center,2006.12 http://www.cert.org/archive/pdf/06tr026.pdf The "Big Picture" of Insider IT Sabotage Across U.S. Critical Infrastructures, Dawn M. Cappelli (CERT),http://www.cert.org/archive/pdf/08tr009.pdf, 2008.5, 2011 CYBERSECURITY WATCH SURVEY: ORGANIZATIONS NEED MORE SKILLED CYBER PROFESSIONALS TO STAY SECURE http://mkting.csoonline.com/pdf/2011_CyberSecurityWatch.pdf Insider Threat Study: Illicit Cyber Activity in the Information Technology and Telecommunications Sector http://www.secretservice.gov/ntac/final_it_sector_2008_0109.pdf Common Sense Guide to Prevention and Detection of Insider Threats、2006.7 http://www.cylab.cmu.edu/files/pdfs/CERT/CommonSenseInsiderThreatsV2.1-1 -070118-1.pdf A Preliminary Model of Insider Theft of Intellectual Property、2011.10 An Analysis of Technical Observations in Insider Theft of Intellectual Property – Cases,2011.2 http://www.cert.org/archive/pdf/11tn006.pdf 12