はじめに
近年、内部不正に関するニュースを目にする機会が増えました。金銭目的で自社製品の開発に関する機密データを持ち出し、ライバル企業に譲渡したという行為や、前職の営業機密情報を持ち出して現職で不正に利用していたといった行為が報道されています。
内部不正行為を未然に防いだり、早期発見することは簡単ではありません。しかし、今や企業の持つ機密情報を狙う存在は国内外を問わず、急速なクラウド化の恩恵により、データを持ち出す手段は増加の一途をたどっています。
大金が手に入る、転職が有利になって良い役職が確約される、今の待遇に不満があるなど、一部の従業員が内部不正行為の誘惑に惑わされる可能性は否定できません。しかし、内部不正行為は犯罪であり、産業スパイや詐欺行為として「不正競争防止法違反」などの罪に問われます。
また、一度内部不正が発生すれば、企業や組織は関係各所への説明責任が発生し、警察などの関係機関を交えた原因究明に多くの人と時間が割かれ、失った信頼を取り戻すために何倍もの努力を重ねなければなりません。
そのため、企業や組織は、従業員を守りながらも、内部不正を早期に発見し、対処をするという取り組みが求められています。そういった複雑な状況に対処する手間を少しでも軽減するため、このブログでは、証跡管理製品「Ekran」を使って、内部不正が疑われる行為を検出する方法をご案内します。
Ekranとは
Ekranは、「証跡管理製品」というジャンルに所属するセキュリティ製品です。監視対象の端末で、ユーザーがクリック操作や文字入力操作を行った際に、スクリーンショットを取ります。そのスクリーンショット一枚一枚に、「いつ」「どの端末で」「どのユーザーが」「どんなアプリを使用したか」などのメタデータを付与し、セッションごとに管理しています。
Ekranで内部不正疑いのある行為を検出する
Ekranは、証跡ログを取得した際にアラートを出すことができます。例えば、『自社で許可をしていないA社、B社、C社のクラウドストレージを使用したらアラートを発出する』といった形です。
アプリケーション、URLといった誰でも扱いやすいルール設定が一般的です。今回は、例としてURLのアラートルールを作成しました。
アラートを発出した際、どのような行動をとるかを以下の画面で設定します。管理者へEメールで報告する、警告メッセージを対象ユーザーへ表示するといった行動をとることができます。ルール部分は何度でも編集・更新が可能です。
さらに厳しい規制を行う場合は、アクション欄を設定します。
アラート発出に該当する操作を行った場合、ユーザーをコンピューター上でブロックしたり、アプリケーションを強制終了させることもできます。
これは、警告が表示されたユーザーの画面です。このように「やってはいけないことですよ」という警告を見せることで、利用者は自分が行った操作が監視されていることを理解できます。
警告されるような行為をする前に注意を促したい時は、端末へログインした直後に、監視している旨を伝えるメッセージを表示させることもできます。
これらの機能には、内部不正抑止効果も期待できます。
また、利用者の端末で証跡ログを記録しているEkranエージェントは特権アカウントでも停止したりアンインストールしたりできません。
アラートが発出した事を知らせるメールを確認した管理者は、該当する端末のセッションを、セッションプレイヤーから確認します。
該当する記録を再生し、内部不正があったのかどうかを確認します。アラートが発出されたポイントは黄色になっているため、直感的に確認できます。
万が一、内部不正の可能性が高まった場合は、該当するセッションをエクスポートし、関係各所へ共有して対応を進めます。
注意事項
今回作成したアラートルールは、あくまで例として作成したものです。実際に運用頂く際は、「全ての端末(ユーザー)にするのか、一部の端末にするのか」や、「実際にどの程度の頻度でアラートが発出されるのか」などを事前に確認頂き、お客様の環境に合わせたアラートルールにする必要があります。運用を検討される際は、ぜひトライアルでの検証を実施頂く事をお薦めします。
Ekranで取得した証跡ログを報告に使う方法
取得した証跡ログを担当者へ報告する際、Ekranのアプリケーションサーバーに接続できる環境であれば、簡単に報告できます。Ekranアプリケーションサーバーに保管されたセッションを、社内の監査担当者に見せればいいからです。
しかし、外部の監査人や、関係各所への報告を行う際には、Ekranで取得した証跡ログを外部の端末で再生できるようにする必要があります。エクスポートの方法は、過去に更新したブログ「証跡のエクスポート機能でフォレンジックの一部をフォロー。証跡管理製品Ekranを使って複雑な報告を時短化する方法とは」をご覧いただけますとご理解いただけます。
Ekranの証跡ログは、あくまでフォレンジックの「一部」
操作記録をそのまま画像とメタデータに残すEkranの証跡ログは改ざんが難しく、わかりやすい根拠として活用できる一方、それだけでは完全な証拠とすることはできません。内部不正は法的な闘争に発展する可能性もあるため、証拠は重要です。不正があったと疑われる端末を確保してフォレンジック調査機関に回し、監査中は不正を働いた可能性がある担当者の行動を把握しておくことで、より迅速に問題を解決できます。
おわりに
内部不正行為は、必ずしもすべての組織で発生するものではありません。しかし、万が一にも発生した場合は、多くの問題が噴出します。デジタルの分野だけでも「誰が」やったのか、「いつ」発生したのか、「どのユーザーで」操作を行ったのか、「どの端末で」データを持ち出したのか、「外部へ持ち出した方法は」何かなど、確認をしなければならない問題が次々と出てきます。その上で、今回の問題にはどの法律が適用されるのか、記者会見を行うべきなのか、どの程度まで情報を顧客や関係企業に開示すべきなのか…などを警察や法律の専門家、フォレンジック機関などと協議し、取締役に説明、承認をもらうプロセスも発生します。
ここに記載した事はあくまで、内部不正が発生した企業が行う取り組みの一部です。このような事態を回避するために、内部不正を抑制するための取り組みと、万が一のためのアラート機能、証跡ログの取得が重要です。従業員を守りながらも、内部不正を早期に発見し、対処をするために、Ekranを始めとする証跡管理製品の運用は、選択肢の一つです。
ここまでお読みいただき、ありがとうございました。