内部不正対策として有効なSIEMとは?情報漏洩を防ぐために必要なこと

SIEMは、サイバー攻撃などの外部からの脅威だけでなく、内部不正にも対応できるセキュリティソリューションです。
テレワークの増加で社員ひとりひとりの行動が目につきにくくなっているため、内部不正をしようと思えばできてしまう環境にあります。
資料のデータ化が進んで情報が持ち出しやすくなり、内部不正対策に頭を悩ませている企業も多いのではないでしょうか。

この記事では、内部不正にも役立つSIEMの概要と、内部不正が起こる原因や対策方法について解説します。

SIEMとは

SIEM(読み方:シーム)は、Security Information and Event Managementの略です。
セキュリティインシデントの予防と早期発見を目的としており、ネットワーク機器や端末などから収集したログを自動的に相関分析し、不審な動きをいち早く発見できます

これまでもログを収集して一元管理できる製品はありましたが、SIEMの特徴は収集したデータを自動的に分析するという点で違いがあります。
この特徴によって、SIEMは脅威の早期発見および自動化による運用労力の削減が可能になります。

SIEMでできること

SIEMの機能は、大きく分けて以下の3つです。

・ログの自動収集
・ログデータの統合・分析
・インシデントの一元管理

SIEMは、ネットワーク機器やサーバー、パソコンなどの端末など、あらゆる機器のログを自動で収集します。そして、収集したログデータを統合して、分析します。

SIEMはデータの分析に相関分析を利用するのが特徴です。SIEMが行う相関分析とは、複数の機器のログの関係性から、不審な挙動かどうかを判断する方法です。

例えば、「ある社員IDでサーバー室内の端末にログインがあった」というログがあった場合、このログ単体は不審なものではありません。
しかし、そのIDの社員は該当時間にサーバー室に入室したログがなかった場合は、不正アクセスが疑われます。

このように、複数の機器から収集したログの関係性から、不審な動きを発見できるのがSIEMの分析機能です。

また、発見したセキュリティインシデントの一元管理も可能です。
ログイン失敗回数が多いユーザーや、他のユーザーよりもアクセス頻度が極端に多いユーザーなど、インシデントの恐れがあるケースを見やすくレポート化できます。

機器ごとのログをバラバラに管理していると、不審な動きを見落としてしまうかもしれません。
SIEMを使えば、ログの収集から分析、レポート化まで自動で行えます。

SIEMを導入するメリット

SIEMを導入することには、大きなメリットがあります。ここでは、SIEMを導入するメリットについて解説します。

不審な動きを素早く検知できる

先述のとおり、SIEMを導入すると不審な動きを素早く検知できます
通常のログ監視システムは、機器ごとのログを監視することはできますが、複数の機器のログを相関分析することはできません。
一方、SIEMを使えば単独のログからは発見できない不審な動きを、相関分析によって素早く発見できます。

不正アクセスやマルウェア感染などのセキュリティインシデントが発生した場合、いかに早く発見して対処できるかが重要です。
例えば、不正アクセスが発生したとしても、攻撃者が重要な情報にたどり着く前に通信を遮断できれば、情報漏洩事件には発展しません。

マルウェアの感染も同様です。
感染に気づくのが遅れると、他の端末にマルウェアがばらまかれたり、情報を抜き取られたりする可能性があります。
しかし、いち早く感染を発見し、該当の端末を切り離して通信できない状態にすれば、被害を最小限にできます。

内部不正対策にも有効

SIEMは、外部からの攻撃だけでなく、内部不正の発見にも役立ちます
社員による操作は業務上必要なアクセスなのか、それとも不正行為なのか、ログを見ただけでは判断できません。
社員のアクセスは通常のログ管理では正常な操作と判断されるため、システムがアラートを上げることもないでしょう。

一方、SIEMの相関分析なら、「特定のユーザーから特定のデータへのアクセスが突然増えた」なども不審な動きとして検知できます。
そのため、社員による情報の持ち出しなどの悪意ある行動も検知でき、内部不正対策にも有効です。

SIEMが必要とされる背景

SIEMでのセキュリティ対策が必要とされているのには、理由があります。ここでは、SIEMが必要とされる背景について解説します。

サイバー攻撃の複雑化

SIEMが必要とされる背景には、サイバー攻撃が複雑化しているという点が挙げられます。
日々新しい攻撃手法やマルウェアが生まれているため、それに合わせて企業のセキュリティ対策も複雑化しています。

ファイアウォールやIPS、EDRなど、多数のセキュリティ機器やソフトが導入されているため、それらのログを自動で収集して分析できるSIEMが必要です。

マルウェアに感染しない、不正侵入させないなどの予防策も大切ですが、それでもサイバー攻撃を防げないケースもあります。
攻撃の防御だけでなく、不正に侵入されることを前提に、それをいち早く発見できるセキュリティ対策が求められています。

内部不正が起こりやすい環境

雇用の流動化やグローバル化、テレワークの増加などによって、内部不正が起こりやすい環境になっていることも、SIEMでの対策が求められる要因です。
内部不正が起こってしまう原因はさまざまですが、いつ内部不正が起こってもおかしくないという前提で対策しておかなければなりません。

社員の不審なアクセスも素早く検知できるSIEMは、内部不正の抑止という観点からも必要性が高まっています。

内部不正が起こる原因

内部不正が起こってしまうのは、いくつかの原因があります。ここでは、内部不正が起こる原因について解説します。

勤め先への不満

内部不正の動機に、勤め先への不満が原因となっているケースは少なくありません。
給与や人事評価への不満、突然の解雇など、社員に不満が溜まると内部不正につながる可能性があります。

「業務の情報を持ち出して転職に役立てたい」「上司を困らせてやりたい」など、情報を持ち出して不満を解消しようと考え、内部不正が行われるのです。

金銭目的

顧客データや技術情報を売ってお金を得るために、内部不正が行われるケースもあります。
名簿などを高く買い取る業者が存在しているため、金銭目的で会社の情報を持ち出す社員がいるかもしれません。

独立行政法人 情報処理推進機構が公開している「内部不正の現状について~国内外の内部不正の動向~」によると、2014年に大手企業で発生した個人情報流出事件では、犯人は金銭目的で内部不正に走ったと記載されています。

社内ルールや罰則の未整備

内部不正が起こる原因として、社内ルールや罰則の未整備も挙げられます。
ルールや罰則がなければ、情報の持ち出しに対するハードルが下がります。テレワークなどによってひとりひとりの行動が目につきにくい環境となっている場合は、特に注意しましょう。

ルールや罰則の整備を行って、内部不正を見逃さないという会社側の姿勢が内部不正の抑止につながります。

■関連記事

内部不正を防ぐための対策

内部不正を未然に防ぐためには、事前の対策が重要です。内部不正に有効な対策として、ここでは以下の3つについて解説します。

・システム的なセキュリティ対策
・従業員の不満を解消する
・社内ルールの整備と周知徹底

また、ここで解説する内容に加えて、IPAの組織における内部不正防止ガイドラインを確認しておくこともおすすめです。

システム的なセキュリティ対策

内部不正を防ぐためには、そもそも内部不正ができないようなセキュリティ対策を講じておくことが重要です。
内部不正をする動機があっても、技術的に情報の持ち出しが不可能になっていれば、内部不正は防げます。

内部不正のシステム的な対策としては、SIEMの導入に加えて適切な権限設定が有効です。
個人情報や技術情報に誰でもアクセスできるようになっていては、簡単に情報が持ち出せてしまいます。
部署や役職によって、本当に必要な人だけが情報にアクセスできるようにアクセス権を設定しておきましょう。
IRMの利用も有効です。IRMとは、文書ファイルの暗号化や権限管理ができる機能のことです。IRMを利用すれば、ファイルを他者に転送しても、権限がなければそのファイルを開くことはできません。
ファイルコピーや印刷、スクリーンショットを禁止することもできるため、ファイル自体を持ち出せたとしても、情報の拡散はできない仕組みとなっています。

■関連記事

従業員の不満を解消する

内部不正の動機を取り除くことも、有効な対策です。
給与や人事評価に対する不満や、上司や同僚との折り合いの悪さなどは、内部不正の原因となり得ます。
これらは内部不正だけでなく、生産性の低下や人材流出にもつながるため、対策が必要です。

「評価基準が不明確」「パワハラが行われている」などは、放置しておくとどんどん社員の不満が溜まっていきます。
評価基準を明確にして評価結果についてフィードバックしたり、ハラスメントの相談窓口を設置したり、社員の不満を解消できるように対応しましょう。

社内ルールの整備と周知徹底

先述のとおり、ルールや罰則の周知徹底が内部不正の抑止となります。
情報の持ち出しに対するルールを設けることで、内部不正だけでなく不注意やミスによる情報流出も防げます。
特にテレワークの場合は情報を持ち出しやすいため、禁止事項を定めた明確なルールを整備しましょう。罰則を定めるのも効果的です。

ルールは整備するだけでなく、その内容を周知して社員に理解してもらわなければなりません。
ルールを定めても社員が内容を理解していないと意味がないため、説明会を行ったりわかりやすい資料を用意したりして、周知徹底しましょう。

内部不正対策にはDirectCloud-BOX

法人向けクラウドストレージのDirectCloud-BOXは、内部不正対策となる機能も多く搭載されています。

DirectCloud-BOXは、取得するログの合計数が業界トップクラスの83種類となっているのが特徴です。誰がいつどのファイルにどんな操作をしたのか、すべて記録されます。
ファイルサーバーと同様に管理者によるきめ細かい権限設定も可能で、組織や業務内容に応じて7種類のアクセスレベルを設定できます

更に、二要素認証・IPアドレス制限・デバイス認証で、IDとパスワードに頼らない認証を実現できます。会社で配布する端末にデバイス認証を設定することで、それ以外の端末からはアクセスできないように設定が可能です。
そのため、万が一IDとパスワードが漏洩したとしても、第三者がアクセスすることはできません。

そのほか、不正アクセス対策やアップロード前のウイルスチェックなど、外部からの脅威に対する対策もしっかりと行われています。

まとめ

SIEMはあらゆる機器からログを自動的に収集して相関分析を行うことで、不審な動きをいち早く検知できるセキュリティ製品です。
通常のログ監視では発見しにくい内部不正にも効果があります。
内部不正対策としてシステム的な対応を行う必要がある場合は、導入を検討してみましょう。

DirectCloud-BOXは、内部不正対策の機能も備わっている法人向けクラウドストレージです。
内部不正による情報漏洩や外部からのサイバー攻撃への対策もしっかり行われているため、ぜひ導入をご検討ください。テレワーク時のファイル共有にも最適なサービスです。

資料ダウンロード