前回の記事では、退職予定者の内部不正による情報漏えいについて書きました。
では、組織の内部不正による情報セキュリティ事故は、どの程度発生しているのでしょうか!?
参考として、プライバシーマーク(Pマーク)を推進しているJIPDEC(日本情報経済社会推進協会)による2022年度の個人情報の取扱いにおける事故報告の集計結果は、次のようになってます。
事象 | 件数 |
誤配達・誤交付 | 3,013 |
誤送信 | 1,730 |
紛失・減失・き損 | 785 |
不正アクセス | 438 |
誤表示 | 406 |
誤登録 | 330 |
マルウェア・ウイルス | 127 |
誤廃棄 | 112 |
盗難 | 34 |
内部不正行為 | 34 |
合計 | 7,009 |
このデータを円グラフで示すとこうなります。
この結果だけを見ると、内部不正は、情報セキュリティ事故のわずか 0.5% を占めるに留まり、インシデントの関与は小さく見えます。
ただ、実態はかなり異なるはずです。
なぜなら、他のセキュリティ事故の事象に比べると、内部不正は、インシデントを検知することが困難だからです。
情報セキュリティインシデントの検知は、コンピュータが発報するものと、人が気づくものに分けられます。
表にあげられた事象でいうと、不正アクセスやマルウェア・ウイルスは、コンピュータによる検知が期待できます。
不正アクセスを検知するのに使われるのが、IDS/IPSです。IDS/IPSは、ネットワークおよびサーバーへの異常な通信や、不正なアクセスを検知したり防御するシステムを指します。IDSもIPSも通信を監視して異常を検知する機能を持ちますが、IDSが検知した結果を監視担当に通知するまでなのに対して、IPSは通信を遮断する機能を有している点で違いがあります。
また、マルウェア・ウイルスは、アンチウイルスソフトによって、検知されます。アンチウイルスソフトは、メール等で受信したファイルをスキャンし、データベースに保存されているシグネチャ(パターンファイル)と比較します。脅威と検知すると、システムの利用者に警告を表示し、対象ファイルを隔離したり削除したりします。
マルウェア・ウイルスは新たなものが次々と出るので、アンチウイルスソフトは最新のパッチを適用させる必要があります。そうすることで、セロデイ攻撃による被害をできるだけ防ぎます。ゼロデイ攻撃とは、未知の脅威のことで、セキュリティ対策を施す前のソフトウェアの脆弱性を狙ったサイバー攻撃を指します。
修正パッチを適用させずに放置すると事故につながる危険が増します。
たとえば、ランサムウェア攻撃にあって、データが意図せず暗号化され「暗号化を解除したければ、お金(仮想通貨)を支払え」と、要求するような警告画面が出るかもしれません(下図は、WannaCryと呼ばれるランサムウェアの脅迫画面)。
コンピュータによるインシデントの検知は、リアルタイム性があり、分かりやすいと思います。
一方、文書の誤配達・誤交付、メールの誤送信、紛失、誤登録、盗難は、組織に勤務する社員が気づくことが多いはずです。取引先に請求書を出した際、請求書の宛先が違っていれば、取引先から「間違ってますよ」と、連絡が来るはずですので、そういうことをきっかけとして、配達ミスやメール誤送信は気がつきます。
人によるインシデントの検知は、コンピュータによる検知と比べると、リアルタイムではありません。また、人間ですので見落としもあるでしょう。
内部不正は、不正行為を行う人をその場で取り押さえしない限り、インシデントの検知は困難です。たとえば、不正行為を行う社員が、データベースに保管された顧客情報を印刷し、外部に持ち出そうとする瞬間を第三者が捕まえるなどです。
不正行為を行う社員は常々、不正を実行する「機会」をうかがってます。ほかの社員に見つかるようなタイミングで情報を持ち出すことはしないでしょう。
さらに、テレワークが進行したことで、社員は自宅から、VPN経由で社内ネットワークに侵入してます。不正行為の瞬間を捉えるのはますます難しくなりました。自宅ではシンクライアントを採用しても、画面に表示された機密情報をスマホカメラで撮影されたら、情報流出を防ぐ手立てがありません。
また、コンピュータによって内部不正を検知することは、あまり期待できません。そもそも、内部不正を行う社員は、情報システムに対する正当なアクセス権限を持っているのが普通です。ですので、組織の機密情報にアクセスすること自体は、不正でも何でもありません。
問題なのは、機密情報を勝手に外部に出すことです。
システムのログを「情報セキュリティの管理者」が定期的に確認することで、内部不正に見られる奇妙な行為ーーーたとえば、社員がほとんどいない時間帯に重要情報へのアクセスが頻繁に行われるとか、プライベートなメールアドレス宛に、添付ファイル付きのメールを頻繁に送付するといったことが分かるかもしれません。
ただ、それでも、その行為を以って、内部不正と断定はできません。「情報セキュリティの管理者」は、社員の日常業務の実態を必ずしも熟知しているわけではありません。多忙な時期に、社員がひとり残って仕事をするため、業務に必要となる重要情報にアクセスするのは普通です。ログをみても、それが内部不正なのか、必要な業務なのかの判断は難しいと思います。
ログの確認から奇妙な行為については、社員の上長に報告を行い、社員から直接ヒアリングをすることで、もしかしたらインシデントを検知できる可能性があるという程度です。
ですので、内部不正による情報セキュリティ事故は、統計データよりもかなり多いことは想定できますが、実態は掴めないのが正しいと思います。