システム管理者の犯行 vs TOMOYO Linux

米国の情報セキュリティ会社の調査で、IT管理者の35％が社内の機密情報に無断でアクセスしていることを認めた、という結果が昨日ITproで報道されました。

• IT管理者の35％が社内の機密情報に無断アクセス，「解雇されたら持ち出す」：ITpro

情報セキュリティ対策の製品を販売しているベンダーによる調査であるということを割り引いても、社内の情報に無断でアクセスしているIT管理者が非常に多いことは、システム管理の知識があるエンジニアなら容易に想像できるでしょう。

現在導入されている監視システムをすりぬけて機密情報にアクセスできるという回答者は74％に達した。

IT管理者には自動的に大きな権限が与えられていることが分かります。

一方で同じく昨日、セキュアOSを実現するTOMOYO Linuxがメインライン入りしたというニュースも報じられました。

• 2つの日本発プロジェクトがマージ、Linuxカーネル2.6.30 － ＠IT

セキュアOSではrootの権限も制限できますから、システム管理者であっても、アプリケーションのデータを参照したりコピーすることはできなくなります。システム管理者による不正は、こうしたセキュアOSを利用することで相当程度防ぐことが可能になります。

また、こうしたセキュアOSがLinuxに統合されることで、セキュアOSの普及が後押しされることも期待できます。

それでも防げない内部犯行

しかしそれでも、そもそも悪意を持ったシステム管理者の社内犯罪を防ぐことは難しいと認識させられたのは、先日の三菱UFJ証券のシステム部 部長代理が引き起こした顧客情報の漏洩事件です。

• 三菱UFJ証券の元システム部社員が顧客情報150万人分持ち出し、5万人分を売却：ITpro

記事によると元システム部長は、IDやパスワードは権限を悪用して取得。サーバを設置していた部屋には監視カメラがあり、かつICカードで入退管理をしていたとのことですが、障害対応目的と偽って顧客データ管理用のサーバにアクセスしたとのことです。

元京都府警でシステムコンサルタントの杉浦司氏は、社内犯罪が起きる条件を次のように説明しています。

一般的に、「動機」と「正当化」と「機会」の三要素がそろったときが、社内犯罪が起きる危険性が高まるとされている。
日本版SOX法の本質は文書化ではなく防犯だ － ＠IT情報マネジメント

社内犯罪を防ぐことも含めた内部統制の強化というのは情報システム部門だけの仕事ではなく、社員の一人一人に配慮する、会社のマネジメントやガバナンスといった分野に属するものなのだ、ということを肝に銘じなければならないのでしょう。

そして、マネジメントやガバナンスの一部として「セキュアOSを導入しポリシーを設定する」というアクションが必須なのだとすれば、「情報システム」と「企業経営」の両方を統合して考える必要がある、ということは強調してもし過ぎることはないはずです。