システム管理者の犯行 vs TOMOYO Linux

2009年6月12日

米国の情報セキュリティ会社の調査で、IT管理者の35%が社内の機密情報に無断でアクセスしていることを認めた、という結果が昨日ITproで報道されました。

IT管理者の35%が社内の機密情報に無断アクセス,「解雇されたら持ち出す」

情報セキュリティ対策の製品を販売しているベンダーによる調査であるということを割り引いても、社内の情報に無断でアクセスしているIT管理者が非常に多いことは、システム管理の知識があるエンジニアなら容易に想像できるでしょう。

現在導入されている監視システムをすりぬけて機密情報にアクセスできるという回答者は74%に達した。

IT管理者には自動的に大きな権限が与えられていることが分かります。

一方で同じく昨日、セキュアOSを実現するTOMOYO Linuxがメインライン入りしたというニュースも報じられました。

セキュアOSではrootの権限も制限できますから、システム管理者であっても、アプリケーションのデータを参照したりコピーすることはできなくなります。システム管理者による不正は、こうしたセキュアOSを利用することで相当程度防ぐことが可能になります。

また、こうしたセキュアOSがLinuxに統合されることで、セキュアOSの普及が後押しされることも期待できます。

それでも防げない内部犯行

しかしそれでも、そもそも悪意を持ったシステム管理者の社内犯罪を防ぐことは難しいと認識させられたのは、先日の三菱UFJ証券のシステム部 部長代理が引き起こした顧客情報の漏洩事件です。

記事によると元システム部長は、IDやパスワードは権限を悪用して取得。サーバを設置していた部屋には監視カメラがあり、かつICカードで入退管理をしていたとのことですが、障害対応目的と偽って顧客データ管理用のサーバにアクセスしたとのことです。

元京都府警でシステムコンサルタントの杉浦司氏は、社内犯罪が起きる条件を次のように説明しています。

一般的に、「動機」と「正当化」と「機会」の三要素がそろったときが、社内犯罪が起きる危険性が高まるとされている。
日本版SOX法の本質は文書化ではなく防犯だ - @IT情報マネジメント

社内犯罪を防ぐことも含めた内部統制の強化というのは情報システム部門だけの仕事ではなく、社員の一人一人に配慮する、会社のマネジメントやガバナンスといった分野に属するものなのだ、ということを肝に銘じなければならないのでしょう。

そして、マネジメントやガバナンスの一部として「セキュアOSを導入しポリシーを設定する」というアクションが必須なのだとすれば、「情報システム」と「企業経営」の両方を統合して考える必要がある、ということは強調してもし過ぎることはないはずです。

Tags: Linux OS セキュリティ

このエントリーをはてなブックマークに追加
ツイート
follow us in feedly




タグクラウド

クラウド / AWS / Azure / Google Cloud
コンテナ / Docker / Kubernetes
クラウドネイティブ / サーバレス
クラウド障害 / 運用・監視

プログラミング言語 / 開発ツール
JavaScript / Java / .NET / WebAssembly
HTML/CSS / Web標準

アジャイル開発 / スクラム / DevOps / CI/CD
ソフトウェアテスト・品質
ローコード/ノーコード開発

データベース / RDB / NoSQL / 機械学習・AI
Oracle Database / MySQL / PostgreSQL
Office / 業務アプリケーション

ネットワーク / HTTP / QUIC / セキュリティ
OS / Windows / Linux / VMware
ハードウェア / サーバ / ストレージ

業界動向 / 働き方 / 給与・年収
編集後記 / 殿堂入り / おもしろ

全てのタグを見る

Blogger in Chief

photo of jniino

Junichi Niino(jniino)
IT系の雑誌編集者、オンラインメディア発行人を経て独立。2009年にPublickeyを開始しました。
詳しいプロフィール

Publickeyの新着情報をチェックしませんか?
Twitterで : @Publickey
Facebookで : Publickeyのページ
RSSリーダーで : Feed

最新記事10本