EN

メールマガジン登録
資料ダウンロード
お問い合わせ

NRIセキュア ブログ

内部不正対策はセキュリティの「最初の一歩」|効率的な対策のステップとは?

目次

    Concept of business ideas and strategy on color background

      7/11に公開した NRI Secure Insight2018 。日本、アメリカ、イギリス、シンガポール、オーストラリアの5か国を対象として実施した「企業における情報セキュリティ実態調査」の結果です。

     

     そのエグゼクティブサマリでは、日本とそれ以外の4か国の間で大きく異なる点が見られました。本記事ではそれらの異なる点にフォーカスし、そこから見えてくる日本企業が今取り組むべき対応策について、具体的なソリューションの紹介を交えて解説します。

     

    日本と海外4カ国ではどんな差があるのか?

     まずは調査結果の中で、日本とそれ以外の海外4か国間で明確に異なる結果となったポイントを紹介していきます。

     

    1

     

    ポイント①

    経営層がセキュリティを統括している企業の割合が、

    日本以外の4か国では7割程度であるのに対して、日本ではその半分

     

     

     

    2

      

    ポイント② 

    セキュリティ人材の充足度は日本以外の4か国では9割弱が充足していると

    回答しているのに対して、日本では逆に9割弱が不足していると回答

     

     

     3

      

    ポイント③ 

    セキュリティ対策のきっかけが日本以外の4か国では経営層からの

    トップダウン指示が1位なのに対して、日本では自社のセキュリティインシデントが1位

     

     

     日本と海外4か国の違いが鮮明になったこれらのポイントについて、日本国内からの視点でとらえると以下のような関連性が見えてきます。

     

    4

     

     このような関連性からも、セキュリティ人材不足、リアクティブなセキュリティ対策という課題解消のためには、CISOを設置してそこに経営層が就任し、経営層のリーダーシップによるセキュリティ経営推進といった根本対策が望まれます。

     

     その一方で、根本対策の効果が見込まれるのは中長期的なスパンとなることが想定されるため、これらの課題に対しての短期的な対策も同時に必要となるでしょう。では、短期的な対策には何をすればよいのでしょうか。

     

     まずは、リスクを認識している特定の「脅威」に対して、インシデントが発生する前に、対策を実施する必要があります。そしてその対策を実行するにあたっては、セキュリティ人材不足の状況を鑑みて、業務を「自動化・省力化・標準化」しておくことが極めて重要になります。

     

     これらは日本以外の4か国が「セキュリティ人材は充足している」と答えた背景として挙げている理由でもあり、今後のセキュリティ対策を実施するにあたっての重要な考慮点と言えるでしょう。

     

    5

    どの業務をターゲットにするべきか?

     では、短期的対策として、どのような「脅威」に対してセキュリティ対策を行っておくべきなのでしょうか。そして、どのような業務を「自動化・省力化・標準化」すべきなのでしょうか。その点についても今回の調査結果から考察してみることにします。

     

    6

     

     

     「自社で最も脅威となる事象」が上記に示されています。4か国と異なる傾向はあるものの、日本国内の認識においては「標的型攻撃による情報漏洩」、「ランサムウェアによる被害」、「内部不正による被害」の3点への対策を優先的に実施すべきであるということが言えるでしょう。

     

     

     表. 日本企業にとっての脅威と代表的なセキュリティ対策

     

        日本企業の脅威トップ3
    No. 対策例

    標的型攻撃

    による情報漏洩

    ランサムウェア

    による被害

    内部不正

    による被害

    メール・Webゲートウェイ -
    ウイルス対策ソフト -
    パッチマネジメント -
    EDRソリューション
    従業員教育
    ネットワーク分離
    権限分離
    特権管理
    アクセス制御
    10 ログ取得・解析・監査
     
     

     次に、上記はそれらの脅威に対する代表的な対策例と、その対策のカバレッジを示したものです。No.4~10の対策は、個々の対策がトップ3の脅威全てに対して効果が見込めるものであり、これらの対策を実施することが最も効率的、かつ効果的な対策になり得ると考えられます。

     

     また、カバレッジの高い対策を見てみると興味深い傾向があります。これらのうちの大部分を占める、「従業員教育」、「ネットワーク分離」、「権限分離」、「特権管理」、「アクセス制御」、「ログ取得・解析・監査」といった対策は、内部統制・IT全般統制に必要な活動として従来から実施されてきたものです。

     

     これらの対策は、内部統制・IT全般統制の目的である「内部不正防止」としての効果はもちろんですが、ここ数年で急激に深刻度を増している「標的型攻撃」、「ランサムウェア」などに対する対策としても有効であることが認識され始めています。

     

     このことから、日本企業が恐れる脅威トップ3に対して、最も効率的かつ効果的に対応ができるのは、実はこれらの「内部不正対策」であることが分かります。そして、この領域において、標準化・自動化・省力化を目指していくことが、今の日本企業が取り組むべき合理的なアプローチだと考えます。

    内部不正対策を高度化するために

     内部不正対策については、以下のような詳細なガイドラインがあるため、この内容を参考にしながら詳細を見て行きたいと思います。

      

    参照:IPA 組織における内部不正防止ガイドライン

     

     本ガイドラインによると、内部不正防止の基本原則が以下の五つにまとめられており、さらに五つの原則に対する対策例に関してもガイドラインの付録としてまとめられています。

     

    7

     

    IPA 組織における内部不正防止ガイドライン」から抜粋

     

     ここで挙げられている五つの基本原則は「犯行を難しくする」、「捕まるリスクを高める」、「犯行の見返りを減らす」、「犯行の誘因を減らす」、「犯罪の弁明をさせない」というものです。それらを実現するための決まりやルールを標準として定め、それにのっとった運営をマネジメントしていくことがガイドラインとして提示されています。

     

     おそらくほとんどの方は『こういった内部不正対策をやっている』、『標準も存在して運用されている』、と認識されていると思います。しかし、現状の多くの企業の内部不正対策の運営には大きな課題が存在するのです。それは「実効性」と「効率性」です。

     

     内部統制、内部不正対策を一定の標準にのっとって実施されてはいるものの、その目的が「監査対応」という、監査人に対して説明がつけばよいということになってしまい、実情は効果的な運用になっていない、という現状も少なくありません。また、運用は回しているものの人手に頼っている部分が存在し、効率的でない部分も散見されます。

     

     このことから、企業は、内部不正防止対策の標準を今一度見直し、自動化・省力化可能な部分を見極め、セキュリティ対策としての実効性を担保していく必要があります。そして、その結果として、内部不正が発生しにくい組織になるだけでなく、外部からの攻撃や脅威に対しても一定の防止・検知効果を発揮するという副次的な効果が生まれてくるのです。

     Businessman selecting a futuristic padlock with a data center on the background

    内部不正対策に有効なソリューション

     NRIセキュアでは内部不正対策、内部統制を目的として350件以上の導入実績がある特権IDアクセス管理ソリューション、SecureCube / Access Check  をご提供しています。

     

     特権IDとは、Windowsにおける「Administrator」や、Linuxにおける「root」といった高い権限を持つIDのことであり、標的型攻撃やランサムウェアで奪取された場合に甚大な被害をもたらします。

     

     それらの利用を適切なユーザ、適切な目的、適切な時間帯にのみ利用できるような制御を行うことで、悪意を持った内部ユーザに対して「犯行を難しくする」対策として有効です。また、特権IDを利用した際の操作ログを取得することで「捕まるリスクを高める」効果をもたらします。そしてそれらをルールだけでなく仕組みとして組み込む事で標準的に、省力化された状態で実現することができるのです。

     

     さらに、内部統制業務を全般的に標準化し、セキュリティ業務をアウトソース頂けるクラウドサービス、Cloud Auditor by Access Check  もご提供しております。

     

    8

     外部からの攻撃手法は日々巧妙化、悪質化しており、すべてを防ぎきることが難しくなってきました。そういった現状であるからこそ、「小さな穴」をいち早く検知し、修復、対応できる強固な内部組織を作り上げること、そして、それら業務の標準化・自動化・省力化を実現することが、セキュリティ人材不足が前提になった今の日本にはとても重要だと考えます。 

     

    新規CTA

    おわりに

     サイバー攻撃などの高度な脅威へ対策をすること、さらには強固な内部組織を作り上げること、これらを実現するために、NRIセキュアはコンサルティング、ソリューション両面からサービスカバレッジを拡大していきます。そして、セキュリティ人材不足という課題を乗り越え、お客様がビジネスの競争力をより高めていけるよう、NRIセキュアは尽力致します。

     

    新規CTA