横領や情報漏えいといった内部不正が企業に与えるインパクトは計り知れない。社会的信用の失墜による事業への深刻な影響は避けられず、最悪の場合、事業継続自体がストップし、経営破たんに追い込まれるケースもある。そうしたなか、海外でにわかに注目を集めている分野に「EFM(Enterprise Fraud Management“企業における不正行為管理”)」がある。これは、従来のログ監視では防げない不審な操作を事前に検知し、内部不正を未然に防ぐというものだ。本稿では、今年9月に、国内初の本格的な不正行為管理ソリューションとしてリリースされたNetIQのAttachmate「Luminet」を取り上げて、その特徴や機能を詳しく紹介する。
顧客のクレジットカード情報の不正使用や、顧客情報リストの名簿会社への売却といった情報漏えい事件がメディアを賑わせるようになって久しい。企業の業務システムやネットワークの盲点を知る内部関係者によって引き起こされる犯行で被る損失は、米国の調査機関の報告によると、売上高の7%を占めるとされ、企業の経営層にとっての大きな悩みの種となっている。
正規のアカウントやパスワードでシステムの鍵をこじあける内部関係者の不正行為は、どれだけ強固なセキュリティ対策を施したとしても完全に防ぐことができない。システム監視ソリューションの「AppManager」や、 SSH製品・エミュレータ製品の「Reflectionシリーズ」などのソフトウェア製品で知られるNetIQで代表取締役社長を務める望岡信一氏によれば、昨今、特に脅威となっているのは、企業の個人情報が格納されたシステムの開発・運用業務を預かる情報システム会社やコールセンターなどの社員/派遣社員による不正行為であるという。同氏は次のように指摘する。
「金融機関はどこもシステム開発・運用をアウトソーシングし、大規模なコールセンターを別会社のかたちで有している。これらの業務を支えているのは大半が派遣スタッフで、人材の入れ替わりが激しいため、運用の利便から、アカウントの権限設定などがあまり厳密化されていないところがほとんどで、こうした環境が不正行為の温床となっている」
こうした内部関係者の不正防止策としては、ネットワーク・アクセス/アカウント管理に加えて、ご存じのように、ログ管理・監視ソリューションが広く普及している。今や大量の顧客情報を抱える企業ではこの対策を行っていないところは皆無と言っていい。しかしながら、ログ監視は言うまでもなく、すでに起こった事象の記録に対して調査・分析を行うものであり、まさに行われようとしている不正行為自体を阻止することができない。そのため、導入の効果はいわゆる抑止効果にとどまり、根本的な解決策とはいえないのである。望岡氏はこう警告する。
「ログ監視による対策は、防犯カメラによる対策にたとえられる。犯行に及ぼうとする者は、現場に防犯カメラが設置されていることは百も承知であり、覆面するなり、カメラの死角を選ぶなりして結局、犯行をやり遂げてしまうものだ。企業システム/ネットワークの世界におけるログ監視も同様である。ただし、一度情報漏えいされてしまったら、その後犯人が突き止められても企業の社会的信用が戻らない分、ログ監視に頼る事後対策だけでは不十分だと言わざるをえない」
内部関係者による不正行為に対する根本的な解決策として、数年前より海外で注目を集めているのが「EFM(Enterprise Fraud Management)」と呼ばれるセキュリティ製品分野だ。この分野では、従来のログ監視では防ぐことのできない、システム/ネットワークの不審な操作・行為をパターンとしてとらえて事前の検知を可能にし、内部不正行為を未然に防ぐというプロアクティブなアプローチが追求されている。
この製品分野に先陣を切って参入し、国内での販売をスタートしたのがNetIQである。同社は今年9月1日、不正行為管理ソリューションAttachmate「Luminet」を発表し、販売を開始した。以下では、国内初の本格的な不正行為管理ソリューションであるLuminetに備わる特徴や主な機能を紹介しながら、不正行為管理の重要性について考察していく。
Luminetの構成
Luminetは、ソフトウェア・パッケージの形態で提供される。同ソリューションを稼働させるサーバにインストールした後、監視対象の業務システムが属するネットワークのスイッチに接続すると準備は完了する。それだけでユーザーは、不正行為を検出するための情報の取得を開始することができる。メインフレームに接続するエンドユーザーを監視対象としてLuminetを導入した場合のネットワーク構成イメージを図に示した。
監視対象としてサポートされるシステム・プラットフォーム/ネットワークが広範にわたっているのは、Luminetの大きな特徴といえる。同ソリューションでは、IBMメインフレーム(3270、MQ、LU0、LU6.2)、IBM System iシリーズ(5250、MPTN)の両プラットフォームへの対応に加えて、富士通などの国産メインフレームにも対応している。UNIXやWindowsなどの各種オープンシステムをサポートし、ネットワークはWeb(HTTP/HTTPS)、クライアント/サーバ(TCP/IP、MQSeries、MSMQ、SMB)、専用線(SWIFT、FIX、ATM ISO8583)などをサポートしている。
メインフレームのサポートは、競合製品にはないアドバンテージといえる。これは、Luminetのメインターゲットが、クリティカルなデータを大量に管理する金融業界、医療業界、政府/官公庁であることによるものだ。
Luminetの主な機能
次に、Luminetに備わる主な機能を詳しく見ていく。同製品の骨格となるアーキテクチャは、独自のエージェントレス型ネットワークスニフィングが採用されている。このアーキテクチャによりユーザーは、対象のシステムやネットワーク、アプリケーションに何ら手を入れることなく情報の取得が行え、それらのパフォーマンスにも一切影響を及ぼすこともない。
機能面において鍵を握るのが、柔軟性に富んだ操作記録・再生・分析機能である。稼働開始後、Luminetは、監視対象となるすべてのエンドユーザーのホスト(サーバ)に対する操作を記録する。その際、ログの容量は膨大になりがちだが、独自の圧縮技術によって、ディスク容量を逼迫させずにアーカイブすることが可能になっている。
記録されたユーザーの操作情報は、Luminetに備わる再生機能によって容易に確認することができる。ユーザー・セッションの完全な再生を行うこの機能では、監視対象のユーザー(アカウント)がどのような挙動をとったかを把握でき、後述するルール設定のための情報を得ることができる。
分析機能は、カスタマイズ可能な分析エンジン、ユーザーの典型的な操作パターンが登録されたルール、アラート、独自アルゴリズムによる検索エンジンの組み合わせによって提供される。さまざまな分析スタイルに対応し、継続的にユーザーのアクティビティを分析したり、自動認識されるユーザーの画面やフィールド入力から処理を特定したりすることが可能になっている。検索については、例えば「特定の時間帯に、特定の顧客データに誰がアクセスしたか」といったようなクエリーを行うことができる。
分析担当者は、不審なアカウントを追跡する基本的な分析に慣れたら、ある不審な操作パターンをイベントとして定義し、それが何件発生したかという観点からも分析を加えることができる。例えば、不正行為に利用されることの多いドーマント(休眠)アカウントから、ある操作を少しずつ行うようなトランザクションが繰り返し発生するというイベントを定義し、そのイベントが1日に何件起こっているかを把握し、必要に応じてアラートを発信させることで、不審な操作の出所を突き止め、不正行為を未然に防ぐことができる。
Luminetのルールは、分析の自動化を支援する。信販会社での利用例としては、社員が顧客のクレジットカードの上限額を一時的に増やし、その間に不正を行い、後で上限額を元に戻しておくといったことが起きる可能性がある。そうした操作が発生した際に、リアルタイムにアラートが発信されるようなルールを登録しておくことになる。
ユニークなのは、ルールにリスクのレベルを示す重みづけを行える点だ。そのスコアの大小によって、さらなるドリルダウンを行うなどの判断ができるようになる。なお、NetIQによって、業種ごとに典型的な操作についてはテンプレートのかたちで用意されているので、ユーザーは、導入時あるいは運用後に、自社の業務システム環境や要件に応じて適宜、ルール登録を行うことになる。なお、下の表にルールの登録例を示す。
このような多様な分析作業を支えるのがLuminetのコンソールである。通常のコンソールの他、Webコンソールも用意されており、分析担当者は、再生や検索、アラート登録などの機能を任意の場所で行うことが可能になっている。また、分析結果はグラフィカルなレポートとして出力することが可能で、ユーザーの操作を視覚的に把握できるようになっている。
前章の特徴・機能説明で、Luminetが、従来型のログ監視とは一線を画したソリューションであることがおわかりいただけたことだろう。望岡氏は、冒頭でも紹介した、情報漏えいなどの内部不正による損失が総売り上げの7%を占めるという米国の調査結果を挙げ、次のように訴える。
「大量の機密データを扱う企業の経営陣は、この7%という数字をどうとらえるか、また、数字には表れない企業の社会的信用の失墜というダメージをどうとらえるかが問われている。多くの企業におけるIT予算は売り上げの1〜2%であると言われており、経営に及ぼすインパクトを考えると、事後対策ではない、プロアクティブな不正行為管理に対してもっとコストを投じるべきなのではないだろうか」
自社におけるコンプライアンスやセキュリティを統括する経営陣、なかでもCSO(Chief Security Officer)とCIOにおかれては、全社的なリスク・マネジメントの視点から、不正行為管理ソリューションが実現する“ユーザー・アクティビティの可視化”とその導入効果に着目する必要がありそうだ。
アンケート期間は終了いたしました。
たくさんのご回答ありがとうございます。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:NetIQ株式会社 Attachmate事業部
アイティメディア営業企画/制作:ITmedia エグゼクティブ編集部/掲載内容有効期限:2010年9月30日