はじめに
情報セキュリティのための管理策の中で組織的対策として分類されている「職務の分離」について、主要なガイドラインを参考に自分なりに解釈した内容を、なるべく具体的に残しておきます。
「職務の分離」とは?
先ずは管理策の本質を理解するために、ISMSに基づく管理策の指針として活用されることの多い ISO/IEC 27002:2022 にどのように記載されているかを確認してみます。
ISO/IEC 27002:2022 5.3 Segregation of duties から引用
Purpose:
To reduce the risk of fraud, error and bypassing of information security controls.
管理目的:
詐欺、エラー、および情報セキュリティ管理策がバイパスされるリスクを軽減するため。
Control:
Conflicting duties and conflicting areas of responsibility should be segregated.
管理策:
相反する職務及び相反する責任範囲は分離することが望ましい。
※)英語部分は原文から引用、日本語部分は、DeepLで翻訳した結果を筆者が修正
管理目的と管理策を一文にまとめ、言葉を足して具体的な内容にしてみます。
「申請」と「承認」のように相反する職務(責任範囲)を有する行動が単独で実施されると、故意又は過失による「不正」や「統制を目的とした管理規則を無効にする行為」が発生しやすい環境となるため、発生頻度をさげるために、異なる個人に職務を分離する。
次項でもう少し深堀りしたいと思います。
具体的な実施例
「職務の分離」が十分に機能しないとどうなるのか?
以下に「職務の分離」の不備により顕在化すると思われるリスクの例を示します。
過失の見逃し:
業務アプリケーションの開発又は改修時に、承認者によるレビューを経ずに担当者の判断で運用開始した場合、セキュリティ要件の実施状況の確認が十分行われず、脆弱性を含むものが使用される可能性があります。
※)例えば「変更の開始、承認、実行」や「コードの設計、実装、レビュー」の各職務を分離することによりリスクを低減することができます不正の見逃し:
アクセス権の要求に対し、自己承認が認めらている、或いは正しく承認されるプロセスがない場合、本来、必要のないアクセス権が付与され、不正な閲覧や持ち出しが発生する可能性があります。また、対象の情報へのアクセス履歴(アクセスログ)に対する操作権限がその当事者に認められている場合、履歴情報が削除できるため不正が発覚しにくくなります。
※)例えば「アクセス権の要求、承認、及び実装」や「アクセス制御とその監査」の各職務を分離することによりリスクを低減することができます統制のための管理規則が無効になる:
統制のための要件を踏まえ職務分掌が設計されているにも拘らず、各々の職務が同一人物により実施されることにより統制が損なわれる可能性があります。
※)例えば、アクセス制御規定、アクセス権付与手順、ID管理手順等で職務分離を具体的に定めることで統制要件の順守性を向上させることができます
その他
組織の環境によっては、以下についても検討が必要になります。
分離した職務担当同士による共謀の可能性
リソース不足により職務の分離が困難な場合には、他の管理策(例えば、活動の監視、監査証跡の確認、管理者による監督)によりリスク(起こりやすさ)を低減する
まとめ
現状、考え得る脅威に対し「職務の分離」は、以下のように多層防御の一部として機能すると言えます。
| 脅威の内容 | 「職務の分離」による効果 |
|---|---|
| 未だに人為的なミスや内部不正を起因とするセキュリティインシデントは発生している | 故意又は過失による不正を見つけるための役割(確認、承認、監督等)を設置し早期に検知する、または抑止効果によりインシデントを未然に防ぐ |
| 攻撃者はより少ない費用で目的を達成しようとする傾向が強く、外部ネットワークからの侵入が難しい(高コスト)と判断した場合、別のアプローチとして組織内部の人員を買収や脅しにより巧みに仲間に引き入れ内部ネットワークへの侵入を試みる | 同上 |
| ビジネスメール詐欺のようにソーシャルエンジニアリングを駆使し、不正送金により金銭をだまし取ろうとする攻撃者が存在する | 支払口座の変更や支払いの実行プロセスにおいて、申請、承認、実行の職務が分離されていれば、攻撃者への支払いという最終段階に至る前に怪しむことができる |
国内ではルールを策定する際に性善説に基づくことが多く、内部不正を防ぐという考え方に対し、ネガティブなイメージがあるように感じます。上記脅威のように人の脆弱性(CVE-0や性弱説と呼ばれています)を悪用するソーシャルエンジニアリングによる攻撃の可能性を考慮し、攻撃者に最終目的を達成させないためのチェック機能として職務の分離を明らかにするとの考え方も必要だと思います。
参考資料
本稿は、以下のガイドラインを参考にしています。より詳細な情報を得たい、正確性を重視したい方は以下を参照して下さい。
ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection — Information security controls
NIST SP800-53 Rev.5 Security and Privacy Controls for Information Systems and Organizations AC-5
