ブログ

情報漏えい被害の被害額は、実は内部不正行為の方が大きい。

2012年9月13日

内部統制が日本に導入され以来4年が経過します。

 

2012年7月に、IPAより公開されている「組織内部者の不正行為によるインシデント調査」によると、サイバー攻撃による被害額が注目をあびている中、内部の不正行為による被害もそのインシデントの数と被害額との関係性は興味深いものがあります。

 

※IPA記事：http://www.ipa.go.jp/about/press/20120717.html

 

サイバー攻撃（外部からの攻撃）が95%であるのに対し、その被害額は全体の38%であり、内部不正行為による被害額は33%になるといった報告が出されております。
つまり、内部犯罪はわずかであるにもかかわらず、被害額が大きいといった傾向があるようです。

 

では、その有効な対策は一体なんでしょうか。
ここでもIPAの調査より面白い結果が出されております。
経営者層と現場担当者との間にて、内部不正行為を抑止することとして、現場担当者は半数以上が「社内システムの操作の証拠が残る」を回答したのに対し、経営者層が上記項目を選択が0%、皆無であったといった結果が出ています。

 

推測とはなりますが、社内にて誰がどのような作業をしたかの証拠といった視点を内部統制ブームでは重要視せず、その結果が被害額として出されてしまったといった見方も出来ます。

 

どのような脅威に対しても完璧な対策はないのも確かですが、見逃してしまったが故の結果であるのならば、そこを埋められる対策を検討するのも1つの安全安心確保になります。

 

弊社が提案している PacketBlackHole は、社内サーバから個人端末のファイルのコピーや、社内サーバでファイルを開いてファイルの内容をコピーし、個人端末にて同じアプリケーション新規作成で貼り付けたとしても、その操作を証拠として残すことが出来ます。
詳細等お気軽にご連絡くださいますよう、よろしくお願いいたします。

 

最後にこの調査によると内部不正行為を実施する動機として、不当な解雇や評価があげられております。
IT機器でできる対策のみに頼りすぎず、日ごろのコミュニケーションといったことが実は大きな力になるのかもしれないです。

 

(vol. 44)

------------------------------------------------------------------------------------------------
Copyright(C) 2012,2025、スワットブレインズ　掲載記事の無断転載を禁じます。

大容量のファイルを受取るときの手段

2012年9月10日

お客様やお取引先様などと大容量のファイルをやり取りする際にどんな方法があるか。とある企業の情報システム担当者の方との話題でした。

 

電子メールの添付ファイルとして送るのは、一般的には数ＭＢ程度が限界。

 

では、受取りはどうでしょうか？
電子メールで受信するのは、難しいですね。

 

そのため、良くあるのは…

 

1. 無料のオンラインストレージサービスで送られてくる。
2. 大容量ファイルを分割して小さなファイルに加工してメール添付で送られてくる。
3. CD-ROMやUSBメモリなどに入れて郵送などで送られてくる。

 

などでしょうか？

 

No.1は、送るデータの内容によっては出来れば回避したいです。
少なくとも、別の第三者にデータを渡すことについては、各企業が定めているセキュリティポリシーの定義を考えると、本当はＮＧなように思います。
自社や取引先の重要な情報を、第三者の管理環境に送りアーカイブされることは問題です。

 

No.2は、相手に手間をかけますし、データの復元が確実と言えないケースや、専用の復元ソフトが必要になったりして大掛かりになります。

 

No.3は、送るコストが発生するだけでなく、届いた媒体が正常に読みとれるか判りません。意外と読み取れないケースも多いです。

 

製品の取扱説明書や、各種マニュアル、お客様先で発生したシステム機器の障害時に、原因を調べるためのログデータなどは、数10ＭＢや、もっと大きなデータサイズになることもあります。

 

こんな大容量データを、早く確実に受取るためにどうするか？
弊社では、デジ急便システムをご提案しています。

 

デジ急便システムは、社内に置いたWebサーバ形式のファイル交換システムです。

 

社内から外部の任意の人に普通サイズのファイルから、大容量のファイルまで、簡単な操作で安全に送ることができますが、反対に、外部の人から、社内の人宛にもファイルを送ることができます。

 

また、ファイルを受取る操作をする場合に問題になるのは、「外部の人のメールアドレスや個人情報を、社内システムに登録して運用する必要がある」とか、「外部の人のアカウントも課金の対象になって費用が発生する」などがあります。

 

デジ急便システムでは、この点について心配がありません。

 

外部の人の情報をあらかじめ登録する必要はありません。課金もありません。
「ゲストの利用」という考え方で利用できます。

 

デジ急便は、導入した企業に余計な負担や追加費用などを発生させないシステムです。

 

取り扱う電子データのサイズがどんどん大きくなる中で、大容量化した電子ファイルの送信と受信については、デジ急便システムのファイル交換機能がお役に立ちます。

 

(vol. 43)

------------------------------------------------------------------------------------------------
Copyright(C) 2012,2025、スワットブレインズ　掲載記事の無断転載を禁じます。

ログを取ってますか？　それ運用出来てますか？

2012年9月6日

販売パートナー様との打合せで、キーワードになった「ログ」。

 

どんなログがありますか。

 

• 社内システムにログイン・ログアウトしたログ。
• パソコンの操作をしたログ。
• ファイルサーバにアクセスしたログ。
• Webサイトにアクセスしたログ。
• メールを送信・受信したログ。
• ネットワークの通信を記録したログ。

 

もっと、あるかもしれません。

 

みなさんは、どんなログを取ってますかね。

 

きっと社内には、膨大な量のログがあるけど、これをどう使うのかな？…と。

 

内部統制、情報漏えい対策、証跡管理。

 

そんなキーワードのもと、色んなログを記録しています。

 

でも、実際にはログを取得するだけで、保存するまで…が多いかもしれません。

 

何か大変なことが発生したら、その大変なことを調べる時にログが役に立つ！
何か調べる必要があったら、そのログを検索する！

 

確かにそういう事がメインかもしれません。

 

もっと、ログを有効に使う方法は無いのでしょうか？

 

せっかく取得したログが、普段から活用出来ることは無いのでしょうか？

 

そんな話題でした。

 

ログには沢山の種類がありますが、それぞれのログは、そのログに期待されていることがあると思います。

 

PacketBlackHoleが記録する、ネットワークの通信ログは、ネットワークを流れた内容を全て記録しています。
例えば、この情報を使うと社内のネットワークの利用状況を調べることができます。

 

PacketBlackHoleでは、あらかじめ”キーワード”を設定して、レポートを作成するようにしておくと、自動的に設定した条件に応じた記録を取り出してまとめてくれます。

 

何かあった時…緊急時にだけ使うログから、違う目的で使えるログとしての活用をしませんか。

 

まずは現在取得しているログ全体を棚卸してみて、ログを整理してみませんか？

 

(vol. 42)

------------------------------------------------------------------------------------------------
Copyright(C) 2012,2025、スワットブレインズ　掲載記事の無断転載を禁じます。