クラウドサービスの活用が進み、企業の情報資産は社内外のさまざまな環境に分散して保管・利用されるようになった。その一方で、共有設定の不備や権限管理のミスをきっかけに、重要な情報が漏えいするリスクが顕在化している。本記事では、内部漏えいの実情を整理した上で、SASEを活用した対策と、フルマネージドSASE「Verona」の活用方法について解説する。
浮き彫りになった内部漏えいリスク
コロナ禍を契機に働き方改革やDXが加速し、企業内のシステム構成の変革が進んでいる。業務システムのクラウドシフトが進み、オンプレミスとクラウドを併用するハイブリッド環境が主流になっている。これに伴い、機密情報や個人情報が複数の拠点やサービスに点在するようになり、情報漏えい対策の難易度も高まっている。
メール、グループウェア、CRM、ERP、ストレージといった業務システムをクラウドで利用する企業は増加傾向にある。一方で、共有設定の誤りなどによる「内部からの情報漏えい」というリスクが顕在化してきた。また、企業が承認していないクラウドサービスを従業員が勝手に利用する「シャドーIT」による被害も見過ごせない。
IPAが実施した「企業における営業秘密管理に関する実態調査2024」によると、過去5年以内に営業秘密の漏えい事案を認識している企業の割合は35.5%に上り、2020年調査時の5.2%と比べると、その増加幅は非常に大きい。
情報漏えいの要因としては、外部からのサイバー攻撃が最も多いが、現職従業員によるルール不徹底、金銭目的の不正、誤操作・誤認といった内部要因による漏えいも上位に挙げられている。内部漏えいは決して例外的な事象ではなく、多くの企業で対策が急がれる現実的なリスクと言える。
企業のシステムやデータに損害を与える脅威のうち、組織内部で発生するものは「内部脅威」と呼ばれる。一般的には、現在または過去に所属していた従業員や請負業者が関与するものを指す。内部脅威は、正当なアクセス権を持つ従業員が関与するため、通常業務と不審な振る舞いを区別するのが難しく、セキュリティソリューションによる検知が難航する場合がある。
特に、管理者権限を保有している場合、アクセス可能なシステムなどの範囲が広がり、情報漏えいの被害が拡大するリスクが高まる。加えて、従業員は社内のシステムや承認プロセスを熟知しているため、不正の発覚を回避する手段を認識している点も危険性を高める一因となっている。
内部からの情報漏えいは、大きく3つのタイプに分けられる。以下では、それぞれの特徴を解説する。
1)悪意のある情報漏えい
外部からの攻撃は金銭的な理由によるケースが多いが、内部漏えいは金銭目的のみならず、個人的な不満や復讐心が理由になるケースも見受けられる。競合他社や外部組織と結託し、機密情報を不正に取得したり、スパイ活動に関与したりする事例も報告されている。
不正行為による内部漏えいは以前から存在していたインシデントではあるが、場所を問わずシステムへアクセスできるクラウドサービスの普及により、そのリスクがさらに増大し、被害が拡大しやすくなっている。
2)過失・不注意による情報漏えい
従業員に明確な悪意がなくても、過失による情報漏えいは起こり得る。例えば、個人情報を含むファイルを誤って外部に送信してしまったり、定められた手順を省略した結果、第三者が機密情報へアクセスできる状態で放置されたりするケースが挙げられる。
また、クラウドストレージの利用が増えたことにより、閲覧権限の設定ミスによって、外部から機密情報が閲覧可能になるという事態も発生している。
3)なりすましによる情報漏えい
外部の攻撃者がフィッシング詐欺などによって認証情報を入手し、正規の従業員になりすまして不正アクセスを行い、情報漏えいを引き起こす場合がある。これは内部の従業員が主体となる内部脅威とは性質が異なるものの、正規のアカウントが利用されるため通常のアクセスと区別がつきにくく、セキュリティソリューションによる検知が難しい点は先述した内部漏えいと共通している。
内部漏えいの事例
企業の内部からの情報漏えいについて、2つの事例を取り上げて以下に解説する。
1)従業員の不正による情報漏えい
建築関連の人材派遣会社に勤務していた従業員が、転職直前に転職元の名刺情報管理システムのアカウント情報を転職先の社員へ送付し、営業先の名刺データを同業他社へ不正に提供したと疑がわれる事件が発生した。共有されたIDとパスワードにより、数万件に及ぶ個人情報が閲覧可能な状態になっていた。
この行為は、個人情報保護法違反に該当するとして罪に問われている。加えて、営業機密の漏えいと判断された場合には、不正競争防止法が適用される可能性もある。
2)過失による情報漏えい
あるIT企業では、クラウドストレージ上で管理していた個人情報が、閲覧範囲の設定ミスによって第三者からも閲覧できる状態になっていた。その情報には、サービス利用者や取引先企業、採用候補者、従業員の端末識別番号、顧客管理番号、メールアドレス、氏名などが含まれていた。
問題が判明した後、当該企業はアクセス制限の実施に加え、影響範囲の調査や再発防止策の検討といった対応を迫られた。
内部漏えい対策としてのSASE
内部から情報漏えいが発生する手口は多様化している。大量のデータをUSBメモリーにコピーして持ち出す方法や、メールを介して外部へ転送する方法は、従来から見られる典型的な手口だ。こうした手口に加え、クラウドサービス上で管理されているデータでは、共有フォルダの権限を不正に変更したり、アカウント情報を第三者と共有したりするだけで、容易に情報漏えいの被害が発生してしまう。
こうした内部漏えいへの対策は急務であるが、従来の境界型防御だけでは対応が不十分だと指摘されている。これまでは、ファイアウォールやVPN(Virtual Private Network)を用いて社内ネットワークと外部を分離する「境界型防御」が一般的だった。内部漏えいについても、社内サーバーなどのオンプレミス環境から物理的にデータを持ち出す場面が想定されてきた。
しかし、近年ではクラウドサービスの利用が広まったことで、従業員は社内外を問わず業務システムへ容易にアクセスできるようになっている。このような環境では、社外から機密情報が不正に取得されるケースも想定され、従来の境界型防御では対応が難しくなる。場所や端末、ネットワークに依存しない「境界なき業務環境」への備えが求められている。
こうした背景から、境界の内外を区別することなく、あらゆる通信を信頼せずに検証する「ゼロトラスト」の原則が提唱された。この原則に基づき、ネットワークとセキュリティ機能をクラウド上で統合的に提供するSASE(Secure Access Service Edge)は、内部漏えい対策における有力な選択肢として位置付けられている。
SASEには、ZTNA(Zero Trust Network Access)、SWG(Secure Web Gateway)、FWaaS(Firewall as a Service)、SD-WAN(Software Defined Wide Area Network)といった多様な機能が含まれている。以下では、その中でも内部漏えい対策と特に関係の深い機能に焦点を当てて解説する。
1)CASB
CASB(Cloud Access Security Broker:キャスビー)は、企業が利用するクラウドサービスへのアクセスを可視化し、ポリシーに基づいて制御することで、セキュリティを強化するソリューションだ。社内サーバーや外部オンラインストレージに接続する端末を把握し、承認されていないクラウドサービスや端末の利用を検出できる。
加えて、ネットワークの利用状況を監視し、大量データのダウンロードやポリシー違反といった不審な挙動を検知し、管理者へ通知する機能を備えている。クラウドサービスに起因する内部漏えいに対しては、メールやクラウドストレージを介した大量データ転送や、承認されていないデバイスからの不正アクセス、シャドーITの利用の検出が期待される。
2)DLP
DLP(Data Loss Prevention:データ損失防止)は、企業が保有する機密情報や重要データを自動的に特定・監視し、不正な持ち出しや送信、漏えい、破壊を防止する仕組みである。機密情報を含むファイルを対象に、コピーや編集・送信の可否を制御できるほか、特定のファイル形式や圧縮ファイルを監視対象に含めることも可能だ。また、接続元IPアドレスをもとに参照や通信を制御し、漏えいが発生した際、特に大きな被害が想定される機密性の高い情報を保護する。
DLPを利用することで、不正なデータ持ち出しをリアルタイムに検知するだけでなく、悪意のない過失や誤操作による情報漏えいも防止できる。
中堅企業でも内部漏えい対策を始めやすいフルマネージドSASE「Verona」
ゼロトラストの原則に基づき強固なセキュリティを実現するSASEは、多様な機能を包括的に提供できる点が大きな強みとされている。しかし、その価値を十分に引き出すには、専門スキルを持った人材の確保や、通知されるアラートに対して即座に対応できる運用体制の整備が欠かせない。特に中小・中堅企業では、予算や人員に制約がある場合が多く、SASEを導入しても活用しきれない可能性がある。
こうした課題に対する選択肢として、セキュリティを専門とするエンジニアに運用を委託できるフルマネージドSASEが注目されている。中小・中堅企業でも導入しやすいフルマネージドSASEとして「Verona」がある。
以下では、内部漏えい対策に有効なシナリオに沿って、Veronaの具体的な活用方法を解説する。
1)CASBによるシャドーITの可視化・制御
Veronaに含まれるCASBの機能は、情報漏えいにつながる恐れのあるアプリケーションの利用を可視化し、ポリシーに基づいて制御できる。退職予定者や委託先に対して必要最小限のアプリのみを許可すれば、不要なストレージへのアクセスを抑制し、悪意のある漏えいリスクの低減につながる。
また、CASBは承認されていないデバイスからのアクセスを検知できるため、シャドーITの利用を把握しやすくなり、過失による漏えいへの対策にもなる。
2)SWGによるデータ持ち出し先の通信制御
SWGは、Webサイトへのアクセスを監視・制御するURLフィルタリングを提供する機能である。個人用クラウドストレージや、未承認のアップローダーへの通信を制限し、Webサイト経由でのデータ持ち出しを抑制する。
3)クライアント認証による、なりすましの抑止
Veronaは、クライアント証明書を基盤とした独自の認証システムを採用し、不正アクセスを防止するZTNA機能を備えている。IDとパスワードのみの認証では、認証情報が流失した際、不正アクセスによる侵入を許してしまうことになるが、証明書による認証を組み合わせることで、より強固なアクセス管理が可能となる。
4)ログ監視とアウトソーシングによる対応強化
すべての通信のログや、リモートアクセス履歴を確認することで、疑わしい振る舞いを早期に把握しやすくなる。内部漏えいが発生した際には、これらのログが調査時の重要な証拠として活用できることも利点だ。
さらに、フルマネージドSASEであるVeronaであれば、その運用を外部に委託できるため、人員不足による対応の遅れを防ぐことができる。専門エンジニアの支援を受けながら、権限管理やアラート対応、アカウント管理、接続ログの記録・分析といった運用プロセス全体を強化できる。
内部漏えい対策に求められる「仕組みと運用」
内部漏えいは、従業員の強い動機による不正行為だけでなく、内部不正対策が十分ではなく、不正が成立しやすい環境では発生しやすくなる。内部不正への抑止力を高めるには、異常を迅速に検知できる仕組みが重要となる。
従業員のセキュリティ意識を高める取り組みが重要なのは言うまでもないが、セキュリティ研修を実施していても、ミスや誤操作に起因するリスクを完全に排除することは難しい。こうした課題に対しては、技術的な仕組みによって、過失による情報漏えいを防ぐセキュリティソリューションの導入が有効だ。
システム環境が複雑化する中、内部漏えいのリスクが一層高まりつつある。予算や人的リソースが限られていても、幅広いリスクを軽減できるフルマネージドSASE「Verona」の導入は、現実的な選択肢の1つと言えるだろう。
