JNSA内部不正対策 ソリューションガイドの紹介 · jnsa内部不正対策...
Transcript of JNSA内部不正対策 ソリューションガイドの紹介 · jnsa内部不正対策...
JNSA内部不正対策 ソリューションガイドの紹介
企業の内部不正防止に関する緊急セミナー
NPO 日本ネットワークセキュリティ協会 組織で働く人間が引き起こす不正・事故対応WG
小川 博久
目次
Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 1
1.ソリューションガイドの概要
2.具体的な不正事例と対策
事例 ① 元従業員
事例 ② 在宅勤務や個人PCの利用
事例 ③ システム管理者
事例 ④ 営業成績のよい営業員
3. 対策検討のポイント
4.JNSAとJNSA内部不正WG
5.参考情報
1-1.ガイドラインとソリューションガイドの関係
Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 2
• 一般的なカタログでは説明されない部分(対策の観点)についても出来るかぎり紹介文を掲載。
• カタログと対策ポイントのブリッジ(解説)を作成。
各社
製品等の
カタログ
1-2.構成と見て頂きたいこと及びご依頼内容
Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 3
• 内部不正対策の管理策のレベルではなく、 個々のポイントごとに製品・ソリューションを紹介。
具体的な検討のためには、対策のポイントが重要
1-3.構成と見て頂きたいことご依頼内容
Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 4
• 製品・サービス紹介版は「A4縦」、 チェックリスト版は「A3横」で印刷はご注意ください。
組織における 内部不正防止ガイドライン
内部不正対策ソリューションガイド チェックリスト対応編(A3 横 印刷)
内部不正対策ソリューションガイド 製品・サービス紹介編(A4 縦 印刷)
1-4.ソリューションを導入するメリット
Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 5
組織的管理
人的管理
法務・コンプライアンス
事後対策
技術的管理
物理的管理
内部不正対策・抑止
ソリューションを参考に 対策検討できる分野
ソリューションだけではなく 具体的な運用が重要な分野
ソリューション導入のメリットは? ① 機械的にチェックしてくれるので漏れがない ② 対策を自動化・可視化できるので抜けがない ③ 業務や部門を連係できるので無駄がない
1-5.ソリューション掲載数
Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 6
• 掲載企業数:16社
• 掲載製品数:156品(ソリューション・サービスも含む)
• 特徴;
– 情報セキュリティ製品やシステムのベンダーが多いため、 物理的管理、技術的管理、証拠保全が多く、コンプライアンス等は少ない状況。
番号 名称 管理数 対応製品数
4-1 基本方針 2 49
4-2 資産管理 5 83
4-3 物理的管理 4 93
4-4 技術的管理 5 141
4-5 証拠確保 2 94
番号 名称 管理数 対応製品数
4-6 人的管理 3 48
4-7 コンプライアンス 2 18
4-8 職場環境 3 24
4-9 事後対策 2 52
4-10 組織の管理 2 30
1-6.今後の更新について (最新版は?)
Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 7
• 今後の更新はJNSAのソリューションガイド(オンライン版)をご覧ください。 http://www.jnsa.org/JNSASolutionGuide/
2.具体的な不正事例と対策
Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 8
2-1.具体的な対策事例① (ガイドラインの事例:No15)
Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 9
事例概要 企業において、元従業員がインターネットから企業ネットワークへの接続サービスを使って、機密情報を持出していた。
主な原因 企業ネットワークへの接続サービスにおいて、元従業員のアカウントが削除されていなかった。
主な対策 (5) 情報システムにおける利用者のアクセス管理
ソリューション事例
• アクセス管理 • 情報資産アクセス管理 • セキュアアクセスツール
• ID管理ツール/システム
2-1.具体的な対策事例① (ガイドラインの事例:No15)
Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 10
情報資産アクセス管理 • 情報資産の重要度分類に基づいて、取扱可能範囲を指定したり、職位・
職務、役割、雇用形態などの属性に基づいて、ID やアクセス権限を自動割り当てを行う。(IDとアクセス権限の適正な管理が可能)
• 発行したIDには、以下の設定が可能。 • 定期的なパスワード変更を強制してセキュリティを高める。 • 複数システムのパスワードを1つに統合する。 • パスワード忘れ時のリセット処理を自動化する。
セキュアアクセスツール
• セキュリティ機能を備えたブラウザから、ゲートウェイを経由して、企業の社内システムを安全に利用する。
• 登録外の端末へのデータ保存や外部へのコピーを禁止する。 (認許可された利用者・端末しか接続できない環境を実現する)
2-1.具体的な対策事例① (ガイドラインの事例:No15)
Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 11
ID管理ツール/システム • ユーザの登録・更新から削除までのライフサイクルを管理(プロビジョニ
ング)するツールやシステム。 • 以下のような機能を提供するシステムもある。 • 各システム間でのユーザ情報の同期・連携を行う機能 • 申請や承認等を実現するワークフロー機能 • アクセ権限等の記録や監査機能
• プロビジョニング • アカウント管理(登録・変更・無効化・削除) • ルール管理(部署、役職、職務、他) • 兼務・引き継ぎ • 組織/ルールの期間管理 • 情報資産管理(アクセス権限管理)
• パスワード管理パスワードポリシー管理・適用
• パスワード変更・同期 • パスワード変更催促通知(メール)
• ワークフロー管理 • 組織属性に基づく承認者設定 • 情報資産管理者による承認 • 申請・承認管理
• ジョブ管理
• ジョブグループ作成機能 • ジョブステータス管理機能(再実行) • アカウントプロビジョニングの実行 • 組織適用開始/終了 • 情報資産の利用開始/終了
2-2.具体的な対策事例② (ガイドラインの事例:No8)
Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 12
事例概要 企業において、在宅勤務の社員が、自宅のPCからインターネットを介して企業の情報システムに接続、機密情報を取得し換金していた。在宅勤務は、監視の目が届きにくいことから、オフィスと比べて内部不正が発生しやすい環境である。
主な原因 在宅勤務等によるインターネットを介しての情報システムへのアクセス、機密情報へのアクセスを制限していなかった。また、在宅勤務において必要な情報以外にもアクセスしていないかを監視していなかったことも考えられる。
主な対策 (15) 組織外部での業務における重要情報の保護 (17) 情報システムにおけるログ・証跡の記録と保護
ソリューション事例
・暗号ソフトウェア ・デバイス制御ソフト(書き出し禁止ツール)
2-2.具体的な対策事例② (ガイドラインの事例:No8)
Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 13
暗号ソフトウェア • ファイルを閲覧や保存時に自動的に暗号化し、アクセス権限を付与する
ソフトウェア。 • Office 系ドキュメント以外の任意のデータを暗号化し、アクセス権限付
与することで、情報の不正な持ち出しを防止する。
デバイス制御ソフト
• PC から外部デバイスへのアクセス管理とログを取得するソフトウェア。 • 登録したUSBメモリや外付けHDDのみに書出しを許可し、個人で持ち込
んだデバイスの利用を禁止する。
USBメモリ作成ソフト
• 市販や今ご利用中のUSBメモリを、暗号化しコピーガード付きのセキュリティUSBメモリに変換するソフトウェア。
2-3.具体的な対策事例③ (ガイドラインの事例:No7)
Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 14
事例概要 企業において、システム管理者が機密情報を繰り返し持出して換金していた。繰り返す度に機密情報の持出し行為がエスカレートしていった。
主な原因 システム管理者の操作を監視することになっていたが、担当者が確認を怠っていたため、機密情報を繰り返し持ち出された。また、システム管理者の権限が分散されず、一人に権限が集中していたことも考えられる。
主な対策 (6)情報システム管理者の権限管理 (18) システム管理者のログ・証跡の確認
ソリューション事例
• ログ管理ツール • アカウント管理とログ管理ツールの連携
2-3.具体的な対策事例③ (ガイドラインの事例:No7)
Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 15
ログ管理ツール • 内部不正の予防や発見に関する様々なログ分析を行う。 • あらゆるデバイス、アプリケーションからの作業内容、作業日時等のロ
グデータを収集する。 • 複数のログからの事象特定/原因調査など、複合的な相関分析を実現し
ます。 • 例えば、入退管理ログと社内システム利用ログを複合して分析し、不在
者のIDの不正利用を発見する など
アカウント管理とログ管理ツールの連携 • 利用者IDなどのアカウント管理(アクセス権の登録・設定・削除・報告
などの各処理)と処理結果のログ管理を自動化する。
2-4.具体的な対策事例④ (ガイドラインの事例:No1)
Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 16
事例概要 地方金融機関において、営業員が休眠口座の預金を着服した。
主な原因 営業成績のよい営業員を配置転換せずにいたこと及び相互に監視しない環境であったことから、不正行為が見つかりにくい環境であった。
主な対策 (24)公平な人事評価の整備 (26)職場環境におけるマネジメント
ソリューション事例
• 職場診断 • 人事制度コンサルティング • 経営層向けマネジメント診断
2-4.具体的な対策事例④ (ガイドラインの事例:No1)
Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 17
職場診断 • 職場のチームワーク向上に向けた職場の状況や問題点等を明確にする。 • 例えば、職場を構成する個々人のつながり度合い、認識の違い、関係の
質等を調査しレポーティングする。
人事制度コンサルティング
• 人事制度は、会社の価値観や方針を社員に伝えるコミュニケーションツールと考える。
• 等級制度、評価制度、報酬制度などを透明性が感じられ、個々人の納得感が高く、運用できる制度設計を支援する。
経営層向けマネジメント診断
• 方針伝達や内部統制も含め経営者として果たすべき役割がどの程度発揮されているのかを調査する。
• 直接マネジメントを受ける下位者からのアンケートを通じてマネジメントの発揮度合いを可視化する。
2-5.その他の対策ソリューション
Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 18
インターネットセキュリティ監視 • 企業内部からの情報漏洩や漏洩の前兆となるようなWeb サービスへの書
き込み等を監視する。 • 主な監視対象は、Twitterや2chなど
フォレンジックサービス
• 情報漏えい、ウイルス感染の被害など事後の対策を支援する。 • ディジタルフォレンジックによって以下を特定し、証跡を保全するとと
もに再発防止の支援を行う。 • 流出源 • 流出経路 • 流出範囲
3.対策検討のポイント
Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 19
3.対策検討のポイント
Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 20
• 内部不正者は、資産へのアクセス権限が付与されている。
①まず、「壁」を作ってアクセスを絞るのが基本
• 物理的な入退出管理
• ネットワーク管理 IDS IPS F/W
• 暗号化
②暗号化する
資産
①アクセス権限を絞る
①ロール(役割)を絞る
3.対策検討のポイント
Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 21
②権限と故意性を区別して対策を検討する
• 権限無し 悪用/誤用 (退職者のID削除(廃棄)など、適切なIDの管理、IDの棚卸し)
• 権限有り 悪用/誤用 (監視の目、Four-eyes)
故意有
故意無
権限無
(1)「権限無」はそもそもアクセスできないはずなのに悪用されている。 (退職者や部外者への権限削除忘れの事例は多い) 技術的・物理的対策の得意分野
(2)「故意無」も権限や業務の分散化が可能であれば 技術的・物理的対策が可能。 でも、権限や業務の分散化はマネジメントが必要。
権限有
(3)内部不正対策の難しい部分 ・ビジネスロール (経営者を係長が監視できない?) ・ITロール (特別な権限を有するシステム管理者を監視できない?) 技術的・物理的対策だけでは無理。 マネジメントや法務・コンプライアンス等が必要。
4.JNSAとJNSAの内部不正WGについて
Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 22
JNSA 組織で働く人間が引き起こす不正・事故対応WGでは、 今後も内部不正が発生する原因や具体的な事例に基づく対策を収集・検討していきます。
理事会/幹事会
事務局
西日本支部 情報セキュリティ教育事業者連絡会
(ISEPA)
日本セキュリティオペレーション事
業者協議会(ISOG-J)
セキュリティコンテスト実行委員会
(SECCON) 部会
産学情報セキュリティ人材育成検討
会
○社会活動部会 セキュリティ啓発WG 指導者育成セミナー講師WG
○調査研究部会 セキュリティ被害調査WG セキュリティ市場調査WG IPv6セキュリティ検証WG スマートフォン活用セキュリティポリシーガイドライン策定WG SNSセキュリティWG 組織で働く人間が引き起こす不正・事故対応WG シンギュラリティ調査WG IoTセキュリティWG
○教育部会 情報セキュリティ教育実証WG 情報セキュリティ教育研究WG IT・セキュリティキャリア女性活性化WG
○標準化部会 アイデンティティ管理WG 情報セキュリティ対策マップ検討WG 国際化活動バックアップWG 電子署名WG PKI相互運用技術WG セキュアプログラミングWG
○U40部会 JNSAラボネットWG 勉強会企画検討WG
○西日本支部 企画・運営WG 中小企業向け情報セキュリティポリシーサンプル作成WG
○会員交流部会 セキュリティ理解度チェックWG JNSAソリューションガイド活用WG 経営課題検討WG
5.参考情報
Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 23
1. 内部不正対策ソリューションガイド http://www.jnsa.org/result/2013/surv_acci/
2. JNSA ソリューションガイド(オンライン版)http://www.jnsa.org/JNSASolutionGuide/
3. 2014年度活動内容 > 組織で働く人間が引き起こす不正・事故対応WG http://www.jnsa.org/active/2014/surv.html#soshiki
4. JNSAの「公開資料・報告書」 http://www.jnsa.org/result/2014.html
5. JNSA Press http://www.jnsa.org/jnsapress/
6. JNSA 活動カレンダー http://www.jnsa.org/aboutus/schedule.html
7. JNSA Twitter https://twitter.com/jnsa
8. JNSA Facebook https://www.facebook.com/jnsa.org
5.参考情報
Copyright (c) 2000-2014 NPO 日本ネットワークセキュリティ協会 24
1. 内部不正対策ソリューションガイド http://www.jnsa.org/result/2013/surv_acci/
Network Security Forum 2014(NSF2014) http://www.jnsa.org/seminar/nsf/2014/pro.html 内部不正対策ソリューションガイド公開イベント ~ これでわかる内部不正対策! パネルディスカッション モデレータ:小川 博久 氏 パネリスト: 研究分野:甘利 康文 氏 PDF [602KB] 法律分野:宮内 宏 弁護士 PDF [135KB] 証拠保全:山田 英史 氏 PDF [765KB] 組織運営:高橋 潤 氏 PDF [340KB]