情報セキュリティ対策を考える際、組織内部による不正行為にはとても注意する必要があります。
特に設立してからあまり年月が経過していない中小企業や、家族経営の会社は、古くからいる社員や身内に対してとても甘い風土があります。設立して間もない会社は、知人に声をかけて人を増やす傾向があり、そうした縁で雇用された社員は、リクナビのようなオープンな手段を使って採用した社員よりも優遇的な扱いをうけることがあります。一見、アットホームな雰囲気に好感をもって、入社した人も、しばらくすると、身内に甘い社風に嫌気がさしてやめていくことも多いようです。
企業の歴史が浅いか深いか、大きい会社か小さな会社かは関係ありません。社員が不当だと感じる差別を受けると、組織内でのハラスメントや内部統制が機能していない状況とみなされます。
内部統制をITによって実現する手段として、有効なのはアクセス制御です。
アクセス制御の例としては、たとえば、下記の図ように営業係Aさんは、請求データの入力と請求書発行を行い、営業部長Bさんは、請求データの承認をする役割とします。この場合、営業係Aさんは自ら入力した請求データの承認が出来ないように制御する必要があります。
アクセス制御は認証及び認可によって実現します。上の図に書いた、請求書発行のシステムの例で書くと、システムのログインはたとえば、IDとパスワードによって実現します。IDは営業係Aさんと、営業部長Bさんは異なります。これがシステムの認証です。一方、営業係Aさんは請求データを入力し、請求書を発行する権限はありますが、請求書を承認する権限はありません。これがシステムの認可です。
しかし、もし営業係Aさんが営業部長BさんのIDとパスワードを知ってしまったら、どうなるでしょう。Aさんは自らのIDで請求書データを入力したあと、BさんのIDを使ってログインしなおすことで、自ら入力した請求データの承認が出来てしまいます。
これがよくある組織内部による不正行為の例です。
内部不正の検知は難しいのですが、アクセスログの取得を行うことで、一定のリスク低減が可能になります。ただし、ログを取得しても、このケースでは異常をすぐに見破ることはできません。なぜなら、システム上はAさんのIDでログインが正常に行われた記録と、BさんのIDでログインが正常に行われた記録が残るだけだからです。たとえば、AさんがBさんのIDとパスワードを知るために、何度も何度もBさんが使っているであろうパスワードを試したら(これをブルートフォース攻撃といいます)、多数のログイン失敗の記録が残るので、不正行為をみつけるのは難しくありません。
ですので、ログは微細な観察眼をもって見ることがセキュリティの要です。アクセスログには以下の情報が記載されています。これらの情報から、普段と異なるIPアドレスからアクセスしていないか、変な時刻にアクセスしていないかを見ていきます。情報セキュリティを管理しているシステム運用者の地道な作業ですが、この地道な行為が不正行為の早期発見につながるのです。
| 出力項目 | 意味合い |
|---|---|
| IPアドレス | アクセス元の IPアドレスを出力 |
| 認証ユーザ名 | 認証されたユーザ名を出力 |
| アクセス時刻 | Web サーバーへアクセスした日時 |
| リソース | リソース、プロトコル、アクションを出力 |
| ステータス | 成功・失敗を出力 |
| リファラ | アクセス元の URL を出力 |
| ユーザエージェント | OS 、ブラウザの種類を出力 |
システム運用の仕事に向いている人は、事象をよく観察することが得意な人だと思います。文系、理系を問わず観察眼が優れている人はいると思いますが、生物の実験とかが好きな人はシステム運用の仕事に向いているかなと思います。
話がアクセスログから逸れるのですが、生物に対する微細な観察眼を持っているということで、わたしが連想するのは、小林一茶の次の俳句です。
- やれ打つな 蝿が手をする 足をする
この俳句は、蠅が手をすったり、足をすったりする様子を観察して、それが命乞いに見えたことを謡っていると思うのですが、小林一茶が、普段から小さな事象を微細に観察する習慣があるからこそ、生まれた名句だと思います。
ちなみに蠅が手をすり、足をするのは、叩こうとしている人間に命乞いをしているのではありません。
蠅の足の先には吸盤がついていて、天井などに逆さにとまることができます。また、蠅は足の先でも味を感じることができます。足の先にゴミがつくとこれらのことができなくなるので、たえずきれいにしているのです。(参考:フマキッズこども研究所 - ホームルーム)
