組織内部のセキュリティに注目せよ

By Dr. Guy Bunker.

イギリスの大手スーパーマーケットのモリソンズ社で発生した従業員の給与データ窃盗事件は、組織内部の人間、すなわち「内なる敵」による犯行であったことから世間の注目を集めました。 この事件は、約10万人の従業員の給与情報や銀行口座などのデータを盗んでインターネットに投稿し、新聞社にディスクを送った疑いで同社の社員が逮捕されました。クリアスウィフトが昨年世界の組織を対象に行ったセキュリティ脅威に関する調査では、外部脅威よりもむしろ内部犯行による脅威の方がより深刻化しているという事実が明らかになりました。このような事態に組織はどう対処すべきなのでしょうか。

まず第一に、組織は従業員ひとりひとりについてよく理解しているという考えを改め、実は組織のうかがい知れない別の一面を持っているかもしれないという意識を持つことです。モリソンズ社のように、本来決して公表されるべきではない社員のデータが、悪意を持った一部の内部の人間によって白日のもとに曝されるという事件が現実に発生しているのです。セキュリティに関する事件はどの組織も世間に公表したがりません。それが組織内部の人間による犯行であればなおさらのことです。

問題が起きるかもしれないという意識を持っておくことが、それに対処するための重要な第一歩なのです。

次の一歩は、現在あなたの組織ではどのようなセキュリティ対策が施されていて、それが内部脅威に対して適切に機能するかどうかを確認することです。もし、モリソンズ社の事件と同様のデータ保護違反があなたの組織で起きたとしたら、現在施行されているセキュリティ対策で、(a)それを検知し、(b)犯人を特定することは可能でしょうか。

ここでは部門横断的なチームを作り、様々なシナリオに対応するための計画を練ることが肝心です。

内部脅威への対策をするうえで最も難しいのは、ごく一部の人間が引き起こす問題がそれ以外の大多数の人間に影響を及ぼすという点を理解することです。セキュリティ対策ソリューションのコストは、脅威のリスクとそれによる影響の大きさと比例して大きくなります。

すべての情報の価値が等しいわけではありません。あなたの組織にとって何が重要な情報かを理解し、その正しい価値を知っていることが重要です。その情報はどこに保管されていて、誰がアクセスすることができるのか。これは単純な質問に思えて、実は正確に答えるのが難しい質問です。その情報はデータベースに入っているかもしれません... しかし、そのデータをファイルに取り出してインターネットにアップロードされる危険性はありませんか。監視や管理が比較的容易なデータベース アプリケーションは、ある日突然最悪な状況を引き起こすかもしれません。ネットワークとデバイスの監視は、組織の重要情報が無断で外部に持ち出されたり、デバイスからリムーバブル・メディアに移されたりすることがないように目を光らせるために絶対必要です。情報漏洩防止(DLP)ソリューションは、情報の「動き」を正確に監視するだけでなく、情報漏洩を引き起こしかねない個人のデバイスやサーバに保管されているデータを検出することもできます。

悪意を持った内部の人間による犯行は発覚するまでの時間が比較的長いと言われています。マニングやスノーデンの事件においても、彼らは長期間、組織に気付かれることなく情報を盗み、外部に漏らし続けていました。組織にとって重要な情報が何かを正確に把握し、それを保護するための具体的な作戦を立てて実行する積極的な姿勢が、重要情報を取り巻く危険を排除し、また、多くの場合悪意を持つ内部の人間の発見にもつながります。

モリソンズ社は社員の個人情報の漏洩という痛手を負いましたが、素早く対応して事件の原因を特定し、犯人を逮捕することができました。すでに起きてしまったことは取り消すことはできませんが、彼らは二度とそのような事件が起きることがないよう、セキュリティ対策を一層強化しようとしていることでしょう。ここで、私たち誰もが学ぶべきこととは、 情報セキュリティ対策が外部のハッカーだけでなく、「内なる敵」、すなわち組織内部に潜む悪意を持った人間から組織を守るためのものでもあるということです。