「資産管理」で欠かせない対象システムの網羅的な把握

　14項目、計42問から構成される日本のサイバーセキュリティ・セルフアセスメントツールについて、前回に続き今回は、「資産管理」「アクセス管理」「データ保護」「監査証跡（ログ）の管理」を解説する。


　「資産管理」について、金融機関ではすでにリスク評価プロセスの中で、情報資産管理台帳やシステム構成図などを作成・整備していることだろう。

　まずはそのそれらのアップデートが適切かつ適時実施されているかが問われている。筆者の経験上、ネットワーク構成図が陳腐化していて現状を反映していない、といった例が散見されるので注意が必要だ。

　さらに言うならば、昨今のサードパーティリスク対応重視の流れの中、自社の情報資産にもならず、外部企業の基盤との提携により実現している業務やサービスも多々生まれている。

　ところが、こうしたSaaSやクラウド上などWebで利用中のツールやサービスについては、情報システム部門が管理する資産管理台帳などには反映されず、現業部門任せとなっているケースもみられる。すなわち、全社を挙げたリスクアセスメントの対象としてみなされていないことになるわけだ。

　場合によってはこうした外部サービスに潜む脆弱性などが敵から注目され、サイバー攻撃における侵入チャネルになり得るので注意が必要だ。

　金融機関としては、以下の図に示した情報資産台帳などを参考に、SaaSやクラウドで利用中の外部サービスも別紙で一覧化し、該当するサービスの運営事業者からリスクアセスメントの結果の提供を受け、内部で評価する、といった対応が求められる。

攻撃パターンからみた適切な「アクセス管理」とは

　「アクセス管理」については、2つの視点が挙げられる。「アクセス権の付与基準」と「アクセス自体の認証手段」だ。

　重要なシステムへのアクセス権については、アカウントを必要最小限の者に限って付与するのは前提条件であり、利用者ごとに、業務上必要最小限の範囲のアクセス権を付与することで、一部のリスクが全体に及ばない工夫が求められている。

　とかく陣容の少ない中小規模金融機関においては、こうしたアクセスを全権アクセスとして特定の人間に付与するケースもあるが非常に危険な行為である。かつて発生した外部攻撃事案でのソーシャルエンジニアリング（人間心理の隙を突き、個人が持つ秘密情報を聞き出す手法）の例を挙げておく。

　まず犯行グループは、当該管理者の個人的なSNSをモニタリングし、友達申請をしてコンテンツを見る権利を得る。その上で、コンテンツとしてアップされている家族構成や誕生日、家族やペットの名前、自家用車のナンバーなどを長期にわたって観察する。

　こうした個人に紐づく情報から、職場の重要システムにアクセスするIDやパスワードを類推し、システム管理権限を奪取した、という事案が確認されているのだ。このケースでは、6カ月にもわたってSNSを通じて管理者の私生活がモニタリングされるなど、敵の執拗さと執念が感じられるほどだ。

　金融機関の諸氏も、SNSで「見知らぬ若年のアジア人女性からの友達申請」をそのまま「許可」してしまうリスクを念頭に置く必要があるだろう。

　こうした事案も念頭に、重要なシステムへのアクセスに際しては、二段階認証などのステップではなく、複数要素認証を実装することが大切だ。その上で外部からの接続に際して、運用管理として接続元の確認・制限を加える必要があるほか、接続監視を適切に実施せねばならない。

【次ページ】「データ保護」のセルフアセスメントとは？