2017.2.6 KIISサイバーセキュリティセミナー「身近な脅威　内部犯行」基調講演資料

1. 企業セキュリティ対策の転換点
立命館大学
情報理工学部
上原哲太郎

2. 制御機器への
攻撃
情報セキュリティ界隈が騒がしく
企業の情報システム担当は大変
B社個人情報
大量漏洩事件
日本年金機構
情報漏洩事件
マイナンバー
制度開始
内部不正 サイバー
攻撃
法的義務

3. だが、それが経営に響いているか
セキュリティ
うちは
大丈夫だよね
ご無体な！
IT関連になると
自分の仕事だと
思わなくなる人は
多い
経営も現場も
そこで思考停止
セキュリティだと
その傾向は
さらに強まる
マイナンバー
難しいので
後は任せた！
でも
予算は
ないよ！

4. それぞれの言い分
 経営層
「ITは金食い虫 セキュリティは上乗せコスト」
「セキュリティ頑張ると業務効率下がる」
「競合他社がちゃんとやってないのにウチだけがやると損する」
「セキュリティ確保は義務ではないのでは」
「せっかく予算つけてやったのになんで事故が無くならないんだ」
 情報システム担当
「とにかくセキュリティは難しい よく判らない」
「業者は予算が必要と言うが 商売したいだけ？」
「経営に適切な予算が提示できない」
「リスクがあるならとりあえず禁止すればいいのでは」
 SIer
「それなりの予算がないと守れない」
「守るのは最終的には顧客の責任」
そこに戦略は
あるか？！

5. サイバーセキュリティ
経営ガイドライン Ver 1.0
 2015年12月 経済産業省公表
 内容はISO27001（ISMS）的思想
 サイバーセキュリティ経営の３原則
1. 経営者は、IT活用を推進する中で、サイバーセキュリティ
リスクを認識し、リーダーシップによって対策を進めること
が必要
2. 自社は勿論のこと、系列企業やサプライチェーンのビジネ
スパートナー、ITシステム管理の委託先を含めたセキュリ
ティ対策が必要
3. 平時及び緊急時のいずれにおいても、サイバーセキュリ
ティリスクや対策、対応に係る情報の開示など、関係者と
の適切なコミュニケーションが必要
 これに沿った重要10項目を提示

6. 情報セキュリティマネジメント試験
情報処理安全確保支援士
あたらしい資格試験
より経営サポートをする層を創出
従来の情報セキュリティスペシャリスト
試験合格者を中心に「士業」に
登録・更新制を採る
「3年で15万の維持費用」が話題

7. これまでの大きな個人情報漏洩は
内部不正が多い
 1999年 宇治住民基本台帳漏洩（22万人）
 システム再委託先のアルバイトプログラマ
 2004年 Yahoo!BB顧客名簿漏洩（460万人）
 元従業員
 2004年 ジャパネットたかた顧客名簿漏洩（51万人）
 （元）従業員（システム担当者と上司）
 2006年 FXSS社受託戸籍漏洩（400万人）
 協力会社のエンジニア
 2007年 DNP社個人情報漏洩（863万人）
 業務委託先のエンジニア
 2009年 三菱UFJ証券顧客名簿漏洩（5万人）
 情報システム部長代理
 2009年 陸上自衛隊員名簿流出（14万人）
 鹿児島地方協力本部一等陸尉
 2014年 ベネッセ個人情報漏洩事件（3500万人）
 関連会社のエンジニア
正社員
正職員
正社員

8. 2014～15年の主な内部不正事件
（IPA報告書より）
不正競争
防止法改正で
刑事事件化
しやすく
なったが
抑止効果は
十分ではない

9. 雇用の流動化は進む
 従業員の「ロイヤリティ」にはもう頼れない

10. 情報システムの内部不正は
防ぐのが大変
 みんな技術に頼ろうとするが……
 管理者権限を持つ者が不正すると…
 アクセス制御を厳格化すると業務が…
 そもそも外部委託とクラウドが主流に…
従業員の良心に頼るのは限界
アウトソーシングの流れも止まらない
かといって技術に銀の弾はない
しかし皆どこか幻想を抱いている…

11. アクセス制御で頑張っても
内部不正はスタートラインが違う
非認証状態
認証
突破
一般従業員権限
安全
危険
管理者権限
権限
昇格
サイバー
攻撃
内部犯行
普通はココが
一番カタい

12. Neet to know原則の徹底と
Border control
情報
A
情報
B
情報
D
情報
C
情報システム
情報
A
情報
B
情報
D
情報
C
情報システム
だれでもアクセス
だれでも持ち出し
最小限アクセス
不要な持ち出し禁止

13. 内部不正の原因？
 IPA「内部不正による情報セキュリティ
インシデント実態調査」2016.3
 過失：故意＝６：４
 過失というより悪用意図のないカジュアルな違反
 USBメモリ5割、メール3割
 しかし中小企業ではほぼUSB禁止されてない
 経営者は技術的・物理的対策を重視するが
内部不正経験者は監視と罰則が有効と回答
 内部不正経験者はその半数が「シス管」
 うち6割が「兼務シス管」

14. まずは人的対策を
 IPA内部不正防止
ガイドライン（3版）
 犯行を難しくする
 捕まるリスクを高める
 犯行の見返りを減らす
 犯行の誘因を減らす
 犯罪の弁明をさせない

15. データベースセキュリティコンソーシアム
「データベース内部不正対策ガイドライン」
DB管理者を中心に
「誘因」「抑制」
「運用」に分けて
リスクポイントを分析
対策を記述

16. 社会的影響として「営業秘密」の変化
 かつて営業秘密を持ち出す＆譲渡する先が
「競合関係にある者」でなければ罰せなかった
デンソー事件を受け不正競争防止法改正
→不正競争防止法改正
「図利加害目的」の持ち出しも処罰対象
 ベネッセ事件では名簿を営業秘密と
位置づけられるかが争点に
→個人情報保護法を改正（名簿屋規制）
不正競争防止法改正（転得者も処罰対象に）

17. 2015年「営業秘密管理指針」改定
 実に12年ぶりの全面改訂
旧指針が事実上
「秘密管理性」
を規定したため
適用範囲を
狭めていた
改定により
広範に
適用可能に

18. 営業秘密管理指針→保護ハンドブック→ハンドブックのてびき！
資料が
とても充実

19. でも、正直者がバカ見てない？
アクセス制御が厳しくて手順が増えた
添付ファイルは必ずパスワード？
忙しいのに研修やらe-Learning必修
上司への報告や承認も増えたし
とにかく何かと窮屈になった
別に私、悪いことしようと思ってないの
に信用されてない感じがイヤ…
ロイヤリティを下げては逆効果！

20. そもそもどうしてIT化してるのに
効率が落ちるのか
 ルールを決めるのはいいが実装がひどい
メールの
暗号化は
zipの
パスワードで
いいんじゃ？
毎度毎度
違うPWを
考えて
いちいち
別便で
遅れって?!
ルーチンワークはシステム化しよう！

21. メールの「添付ファイル」に頼った業務
フローを見直す
 添付ファイルは現場レベルで
ワークフローを構築しやすい
 だが、それが大きなリスクを生んでいる
 メールは送信者が確認できない
 メールは暗号化できない
 PW付zipなど「勝手暗号化」がかえって
セキュリティ対策を殺してしまうジレンマ
 これらの対策は存在するが普及が課題
 それならば定型化した業務は
「認証のしっかりしたWeb App」に
移した方が効率化とセキュリティ対策が
両立できるのでは？

22. 本当にそれは必要か、を問う
添付ファイルつき
メールは業者との
連絡に必須で…
基幹システムに
決裁システムがあって
そこにネットからの
文書を添付しないと…
メールじゃなくて
ファイル授受サーバを
クラウド上に作れば？
本当にdocファイル
じゃないとだめなの？
決裁のためなら
画像で十分じゃ？
現場から「業務情報化」のアイデアは出ない！
業務の現状を分析して「セキュアな方法」を提示

23. 本当に必要なのは何か？
 情報システム全体を
最初からセキュリティ対策しておくのは
もちろんのこととして・・・
 「仕事のやり方」を変えて効率化を
 いつまで情報機器を清書機にするのか
いつまで「印鑑文化」を維持するのか
 セキュリティ対策で
「業務効率が常に下がる」のは本末転倒
「結果的に業務効率が上がる」ことを示し
「業務のやり方を変える」ことを
現場に受け入れさせられるかが勝負では？！

24. 問題の所在はどこか
 経営にITが「正しく」組み込まれていない
 ITは業務への使われ方が本質的でない
 ワープロを清書ツール、Excelをそろばんの代替
メールを郵便の代替として使っている
 本質は業務における「データフロー」の最適化
 それが整理されないので情報管理ができず
リスクポイントばかりが増えてゆく
 まずは業務をITに合わせ見直し効率化
それがリスクの所在を顕在化させ
効率のよい守りに繋がってゆく！

25. 標的はシステムではなく「人」
人にデータを食わせるWebとメール
 現状狙われているのは
「人」に不定型なデータを拾わせる機会
本当にそのデータを人手で扱わせるのは
必要なのかもう一度問い直そう
CSVを落として
列を加えて
コピペして
一部手で直して
再度Upload…
データ選択
クリック
おわり！
いうのは簡単だが現実は厳しい 例外処理がカギ

26. 今後はこれを比較しよう
業務改善
システム化
コスト
セキュリティ
対策コスト
セキュリティのために仕事をするのではなく
仕事のためにITを使い、そこにセキュリティを見いだす 26