事故前提社会における　　　　　　　　　　　企業を支えるシステム操作統制とは

(1)

調査結果から見えた優先すべき内部不正対策

2016 年 6 月エンカレッジ・テクノロジ株式会社近年、内部不正を原因とする情報漏えい事件の報道が相次いでおり、被害も深刻化しています。そのため、企業にとって情報漏えい等を防止するための内部不正対策は、対応すべき重要課題の一つです。しかしながら、講じるべき対策とその範囲はあまりに広く、優先して取り組むべきポイントを考慮する必要があります。

内部不正経験者の半数以上はシステム管理者

独立行政法人情報処理推進機構（IPA）が行った調査（以後 IPA 調査）※1 では、過去に内部不正（軽微なルール違反を含む）を起こした人（内部不正経験者）の属性を訪ねたところ、

半数以上がシステム管理者

（兼務を含む）という結果でした。図 1. 内部不正経験者の内訳（業務）出典：「組織内部者の不正行為によるインシデント調査－調査報告書―」（2016 年 3 月）独立行政法人情報処理機構 IPA では、この結果について「システム管理者は社内システムに精通し、高いアクセス権限（特権）を有することが多いため、

権限の最小化・分散、作業監視等の対策が有効

といえる」とまとめています。システム管理者が実施するシステムの保守・運用においては、プログラムや OS のパッチ適用など対象のシステムの変更ができるようシステムに対して様々な権限を有する「特権 ID」を頻繁に使用することがあるため、その濫用、不正な使用

(2)

社員の考える有効な対策と企業が考える対策にギャップ

前述した IPA 調査では、内部不正経験者が考える不正防止の有効な対策と企業・管理者が考える有効だと思う対策にギャップがあるという結果も明らかになっています。表 1. 効果的だと思う対策の比較（内部不正経験者と経営者・システム管理者）出典：「組織内部者の不正行為によるインシデント調査－調査報告書―」（2016 年 3 月）独立行政法人情報処理機構内部不正経験者対策経営者・システム管理者順位割合順位割合１位 50.0％ネットワークの利用制限がある（メールの送受信先の制限、Web メールへのアクセス制限、Web サイトの閲覧制限がある） 2 位 30.3% 2 位 46.5% 技術情報や顧客情報などの重要情報にアクセスした人が 監視される（アクセスログの監視等を含む） 4 位 27.0% 3 位 43.0% 技術情報や顧客情報などの重要情報は特定の職員のみがアクセスできる 1 位 43.9% 4 位 25.0% 職務上の成果物を公開した場合の罰則規定を強化する 12 位 12.8% 5 位 23.5% 管理者を増員する等、社内の監視体制を強化する 11 位 13.1% （内部不正経験者：n=200、経営者・システム管理者：n=1500） IPA では、2012 年にも内部不正の実態に関する調査を行っていますが、この調査において、社員と企業の間で有効と考える対策に大きなギャップがみられており、その傾向は続いているとしています。表 2. 対策に関するアンケート結果（上位５位：社員）出典：「組織内部者の不正行為によるインシデント調査－調査報告書―」（2012 年 7 月）独立行政法人情報処理機構社員対策対応項目に対する経営者・管理者の結果順位割合順位割合１位 54.2％ 社内システムの操作の証拠が残る 19 位 0.0％ 2 位 37.5％ 顧客情報などの重要な情報にアクセスした人が監視され る（アクセスログの監視等を含む） ５位 7.3％ 3 位 36.2％これまでに同僚が行ったルール違反が発覚し、処罰されたことがある 10 位 2.7% 4 位 31.6% 社内システムにログインするための ID やパスワードの管理を徹底する 3 位 11.8% 5 位 31.4% 顧客情報などの重要な情報を持ち出した場合の罰則規定を強化する 10 位 2.7％（社員:n=3,000、経営者・管理者:n=110）

(3)

この両方の調査結果で共通して言えるのは、企業は、アクセス制御を行うなど不正ができないようにする予防的対策が効果が高い考える傾向がある一方、社員が不正を思いとどまる対策としては、証拠が残る、監視されているといった発見的対策と罰則規定の強化などが上位にあげられている点です。

調査結果が示す内部不正で優先すべきポイント

以上のことから、企業が優先すべき内部不正対策には、以下の２つがあげられます。

ポイント１：システム管理者に対する対策を優先すべき

IPA 調査が示す通り、内部不正経験者のうち半数以上がシステム管理者（兼務含む）である背景には、システム保守・運用業務の中で、特権 ID を使用する場面が多くあり、その管理不備により、システム管理者の権限濫用を招く場合があるということを示しています。現に昨今発生している多くの情報漏えい事件は、企業のシステム管理者またはシステム管理を委託している外部委託先企業の従業員、派遣社員によって引き起こされています。このようなことから、システム管理者（委託先含む）に対する内部不正対策について、他の様々な課題に先んじて取り組むべき優先課題だと考えられます。

ポイント 2: 監視および証跡確保が最も効果の高い取り組み

企業が考える対策は、アクセス制御など予防策が中心ですが、IPA 調査の結果を見る限り、内部不正経験者や社員の立場では、アクセスの履歴が残る証跡確保であったり、アクセスの様子を監視されているといった、発見的対策が、不正を抑止・防止するのに有効だという結果になっています。また、システム管理者は、前述したとおり、業務の性質上特権 ID の使用が避けられず、権限を減らしてアクセスそのものを制御することが難しいのが現状です。したがって、システム管理者に対する内部不正対策で優先すべきは、システムに対してアクセスしている際の監視とアクセス内容の記録と保管、および定期的なチェックを行うことであると考えられます。

(4)

弊社のシステム管理者向け統制ソリューション

弊社では、システム管理者の内部不正を防止する統制・リスク管理ソリューションを提供し、企業の統制活動の強化のご支援を行っています。現在、システムや企業の規模に合わせて、２つのラインナップをご用意しています。

 小規模システム向けオールインワンパッケージ ESS AdminGate VA

ESS AdminGate VA は、比較的小規模なシステム対し、特権 ID＆証跡管理を実現するパッケージです。ワークフロー、ID 貸与、操作証跡の取得、ファイルの入出力管理などの必要機能をオールインワンで提供、仮想アプライアンス方式によって提供されるため、導入・設定が容易ですぐにご利用いただけるのがメリットです。

 大規模で細かな要件に対応できる ESS AdminControl＋ESS REC

特権 ID 管理を担う ESS AdminControl、証跡管理を実現する ESS REC とそれぞれの機能に特化した専門製品を組み合わせ、必要な対策を講じる中・大規模システム向けのソリューションです。それぞれの製品は細かな要件に応えられるよう高機能であり、環境に応じて柔軟にシステム構成を変えることも可能です。

弊社ソリューション主要機能

弊社ソリューションは、特権 ID に係るリスク対処に必要な対策を以下の機能を提供することで実現しています。

システム操作監視/証跡

ファイル持出制御（情報漏えい対策）

サーバーからファイルを作業者単独で持ち出せないよう持ち出しファイルを制御持ち出しファイルにマイナンバーや個人情報が含まれていないか検査し、アラートを表示ログ解析の専門知識がなくても、容易に点検が可能となるよう、操作内容を動画やテキストで記録許可されない操作が実行された場合に即時にアラートが上がる検知機能

特権 ID に対するアクセス制御

特権 ID 使用者の識別

ワークフローを用いた事前申請に基づく特権 ID の貸与でアクセス制御を実現特権 ID のパスワードを隠ぺいし、漏えいリスクを低減特権 ID とその使用者の個人を紐づける独自技術により、特権 ID を共有して利用する場合でも、使用者を識別するとともに、許可されないユーザーによる不正使用を防止

(5)

参考・引用文献

組織内部者の不正行為によるインシデント調査－調査報告書－独立行政法人情報処理推進機構（IPA） 2012 年 7 月組織内部者の不正行為によるインシデント調査－調査報告書－独立行政法人情報処理推進機構（IPA） 2016 年 3 月本ホワイトペーパーに記載の内容は、内部不正の防止を完全に保証するものではございません。本資料に記載されている弊社製品の機能は予告なく仕様変更される場合がございます。あらかじめご了承ください。

(6)

2016 年 6 月 6 日発行エンカレッジ・テクノロジ株式会社〒103-0007 東京都中央区日本橋浜町 3-3-2 トルナーレ日本橋浜町 7F URL : http://www.et-x.jp/ Phone : 03-5623-2622 Fax : 03-3660-5822 * 文中に記載されている会社名、商品・サービス名は、それぞれ各社の商標または登録商標です。

事故前提社会における 企業を支えるシステム操作統制とは