イベント報告 2024/05/24

Security Days Spring 2024セッション④「金融業界に贈る｜内部不正対策のポイント2024」

サイバー攻撃は、巧妙・悪質な手法へと変化し続けており、情報資産を盗まれるリスクが増大。企業や組織には、最新の脅威動向を踏まえたセキュリティ対策が求められています。

ソリトンシステムズ（以下、ソリトン）は、注目すべき最新のセキュリティ動向や当社製品の魅力について、より多くの企業担当者様に知っていただきたいという思いから、2024年3月12日～3月15日にJPタワーホール&カンファレンスで開催された情報セキュリティに関する専門イベント「Security Days Spring 2024」に参加し、全4講演のセミナーを実施しました。

今回の記事では、イベント4日目に実施したセミナー「金融業界に贈る | 内部不正対策のポイント2024」について、その概要とポイントをご紹介します。

金融業界をはじめ、機微な情報を扱う業種を取り巻くセキュリティ動向

金融業界では、社員の生産性やカスタマーサービスの向上のため、各企業はDXに注力しています。DXの推進においては、業務効率化を意識したシステム導入が行われますが、同時に注意しなければならないのが情報セキュリティです。特に、金融業界は氏名や住所といった個人情報のほか、借り入れやクレジットカード利用の履歴、資産など、機微な情報を多く取り扱っています。また金融業界以外でも、特定個人情報であるマイナンバーを扱っている自治体や、各患者の診療情報を保管している医療機関なども、DXの推進や環境の変化に合わせて、強固なセキュリティ環境を構築することが求められます。

こうした取り組みにおいては、ランサムウェアやサプライチェーンの脆弱性を突いた攻撃など、外部攻撃への対策に重点を置かれるケースが多く見られますが、一方で、昨今重大な被害が相次いで報告されている“内部不正による情報漏えい”にも気を付けなければなりません。

内部不正による情報漏えいは、重要データの保管場所を事前に知られているケースが少なくないため、外部からの攻撃と比べて被害規模が大きくなりがちです。事実、ベライゾンによる2022年の調査を見ても、外部脅威よりも内部脅威による漏えいのほうが、流出したレコード件数が明らかに多いことがわかります。

また、IPA（独立行政法人情報処理推進機構）が毎年発表している「情報セキュリティ10大脅威」の 2024年版でも、内部不正や不注意による漏えいといった内部脅威の順位は昨年よりも上昇しています。

意識すべきセキュリティ対策箇所と手段

では、内部不正対策はどのように行えば良いでしょうか？

IPAでは、内部漏えい予防の指針として「内部不正防止ガイドライン」を設けています。ここで内部不正対策として要求されている技術的な対策は、大きく分けて以下の3つです。

アクセス制限：個別のID・パスワードによる認証や物理的な入退室管理などで重要情報へのアクセスを制限する
データ保護：記録媒体の持ち出しを防ぐ、HDDを暗号化するなどのデータ管理
ログ監視：重要情報へのアクセス記録・証跡管理とモニタリング

また、自社の機密情報がどこに保存されているかを把握しておくことも、対策を立てるうえで重要になります。ソリトンが2023年に実施した調査では、機密情報はファイルサーバ、PCのローカル上、オンプレ業務システム、クラウドサービスなど、様々な場所に保存されていることが明らかになりました。

ですが、機密情報を保存している場所全てを、漏れなく対策することは容易ではありません。そこで大切になるのが、「入り口」であるPCを守るという考え方です。機密情報が保存されている場所こそ様々ですが、その多くはPCからのアクセスが基本となっています。

よって、PCを立ち上げるときの認証が情報漏えい対策のカギとなります。正規のユーザーを確実に認証し、特定したうえで業務PCを使えるようにすることで、不正を行う機会を効果的に減らすことができるでしょう。

では、確実な本人特定ができる強力な認証とは何か。その答えは、複数の要素を組み合わせて本人確認を行う多要素認証です。多要素認証では、2つ以上の認証要素を組み合わせて正規のユーザーを判断することで、なりすましによる不正利用を著しく困難にします。

【多要素認証に用いられる認証要素】

知識情報：ID・パスワードなど
所有情報：ICカード、スマートデバイスなど
生体情報：指紋、顔など

近年、多要素認証は一般的なセキュリティ強化の方法として急速に普及しました。特に医療、行政、教育、防衛産業など、機微な情報を扱う業界の情報セキュリティガイドラインには「多要素認証」の設定義務について明記されています。

もちろん金融業界も同様で、「FISC安全対策基準」で推奨されていることに加え、クレジットカード情報を扱う事業者を対象としたセキュリティ基準「PCI DSS v4.0」にも、多要素認証の記載があります。「PCI DSS v4.0」に記載された要件は、2025年3月までに対応しなければ罰則を課せられる可能性もあるため、多要素認証導入は、必須事項と言えるでしょう。

ここで注意したいのが、多要素認証であれば何でも良いわけではないという点です。たとえばPCI DSS 4.0では、「多要素認証の仕組みは、リプレイ攻撃の影響を受けない」等の要件が求められています。リプレイ攻撃とは、情報を盗む者が認証のプロセスを傍受しながら行う攻撃のこと。こうした攻撃で簡単にログインされるような認証では、強固なセキュリティどころかむしろ狙われやすい環境となってしまいます。

ガイドラインの要件を満たす、強固かつ柔軟なソリューションを選ばなければなりません。

実績豊富なSmartOn IDを活用し、内部不正対策を強化

そこで、ソリトンが提案する多要素認証ソリューションが「SmartOn ID」です。上述のリプレイ攻撃への耐性はもちろん、交通系ICやマイナンバーカードの流用、マスクをしたままの顔認証など、環境に合わせた認証環境を柔軟に構築することができます。また、内部不正対策において重要な「利用者本人の特定」を得意としており、PCやWindowsアカウントを共有している環境下でも、認証ログにより「いま誰がPCを使っているか」を明らかにします。

さらに、認証完了後は各種業務システムやクラウドサービスへのログインを自動で行ってくれる、シングルサインオン機能を搭載しています。多要素認証は複雑で面倒というイメージを持たれることもありますが、「SmartOn ID」であれば、強固なセキュリティを実現した上で、ユーザーの利便性も確保できます。

「SmartOn ID」は、業界・業種を問わず様々な企業・組織に採用されており、19年連続で国内シェアNo.1となっています。とある大手クレジットカード会社様では、ライフステージの変化でスキルの高い社員が離職してしまう課題を抱えていましたが、SmartOnの導入により在宅でも安心して業務できる環境を構築。セキュリティレベルの強化と、人材活用の最適化に貢献しました。

自身の講演について、ITセキュリティ事業部プロダクトマーケティング部の光井一輝は最後にこう振り返ります。

“ガイドラインに多要素認証が明記されているのは、対策しないままインシデントが起きた場合に、企業・組織へ与えるインパクトが大きいからです。最近では、企業間のコラボレーションや業務委託の機会が増え、社外アカウントを運用するケースも多いと思います。社員や、関係者からの情報漏えいリスクは、どうしても大きくなりがちです。

対策として、認証要素を増やすのは手間がかかると思われているお客様も多いですが、自組織のビジネス環境に適したソリューションを選定すればストレスなく導入できます。

特に次期PCのセキュリティについて悩まれているお客様には、一度「SmartOn ID」を検討いただけると嬉しいです。2025年10月にWindows10のサポート終了が決まっているので、PCの多要素認証を導入いただくにはうってつけのタイミングです。

ソリトンとしては、「SmartOn ID」のご提案はもちろん、「認証セキュリティ」に関するお悩みを包括的に解決していきたいと考えています。講演でも説明した通り、悪意がない行動が原因で企業に損失が出てしまうケースも十分考えられるので、そういったリスクを軽減しつつ、利便性も落とさないソリューションをお届けできるよう、尽力していきたいですね”