〇 内部不正対策は十分か?「疑うべきものを疑う」方策を確立せよ。
企業のセキュリティ課題として、外部からの攻撃への対処に加えて、内部不正への対策にも関心が高まっている。機密データを保存したUSBメモリーの紛失・情報漏洩事故や、退職(予定)者による意図的な機密情報の持ち出し事件などが背景にある。ハイブリッドワークの広がりに対応する内部不正対策の在り方と、従来の対策を見直す際のポイントを解説する。
増大する内部不正のリスク、新しい対策の3つの要点。
企業や団体の従業員が、個人情報など機密データを格納したUSBメモリーを外部に持ち出して紛失、情報漏洩事故を引き起こしてしまった――。こうした、内部不正に起因する事件が相次いでいる。
さらに近年は、退職(予定)者が転職前の企業から営業秘密を不正に持ち出し、競合となる転職先の企業で利用したことで、不正競争防止法違反に問われる事件も複数発生している。事件の報道を「明日は我が身」と受け取った企業も多いようで、顧客からガートナーへの内部不正対策に関する問い合わせが増えている。
新型コロナウイルスの感染拡大から3年目となった2022年は、オフィスでの勤務と自宅など社外での勤務を織り交ぜる「ハイブリッドワーク」が拡大した。
このほか、人材の流動性が日本でも以前に比べて高まり、複数社による協業で進めるビジネスが増えた。さらにIT領域での外部事業者に委託する範囲の拡大という変化に、多くの企業が直面している。こうした新たな勤務形態は新たなリスクを生むことになるため、企業はいま一度、内部不正対策を再構築する必要に迫られている。
これからの時代に合った新しい内部不正対策を講じるに当たって、企業は3つの要点を踏まえるべきだ。(1)スピードへの対処、(2)見えないことへの対処、(3)当事者意識向上への対処である(図1)。
(1)スピードへの対処とは、従業員とデータの素早い動きにセキュリティが追随できるようにすることを意味する。従業員も取り扱うデータも閉域網の内側にはとどまらず外へと移動すること、しかも頻繁に移動することが当たり前になった状況に対処するものだ。具体的には、権限付与の単位を、従来よりも一回り小さい「ユーザー」という単位に変更することで、より柔軟な制御をするものである。
(2)見えないことへの対処とは、オフィス以外の場所で働く従業員の不審な動きを目視に代わる手段で捉えるという意味だ。そのためには、従業員の行動パターンを把握しておき、そこからの逸脱を異常として検知するといった手法を取る。
(3)当事者意識向上への対処とは、事業部門にセキュリティに対する意識を根付かせることをいう。年1回の研修プログラムを従業員に課す企業も多いが、より効果を高められる教育方法へ変えることも検討すべきだ。
事業部門にも一部データの保護に対する責任を持たせる。
(1)のスピードへの対処のために有効なのは、管理の単位を小さくすることだ。これまでの内部不正対策は、ネットワークあるいは所属部署の単位でまとめて設定するのが一般的で、閉域網の内側にユーザーやデータがある限りは、細かなアクセス管理をしない場合が多かった。社外という新たな脅威環境では、従来の方法でリスクを十分に下げられない。このため、管理の単位をユーザーに変更し、より精緻な権限管理を徹底する必要がある。
このような新しい情報漏洩対策を講じるに当たり、データ保護の責任の所在を再認識しておく必要もある。セキュリティの問題は全て情報システム部門が責任を負うという認識を改め、業務データを利用する事業部門にも情報保護の責任が存在するという原則について、従業員と改めて合意形成すべきだ。
公開前の事業計画や知的財産などの最重要機密は、これまで通り企業としての保護を徹底する。顧客の個人情報やクレジットカード番号などは法規制にのっとって管理することが求められる。
一方で業務上の重要データは、毎日のように現場で生成され、社外とのやり取りの中で授受されるなど、流動性が高い。これらは企業が集中管理してデータの利用や移動を制限するのではなく、事業部門が主体的にセキュリティに関与するのが原則であり、そのための体制づくりを進めなければならない(図2)。
情報漏洩を防ぐために利用できるテクノロジーは、既に身近なものとして存在する。例えば、「Box」や「Microsoft 365」などには、誰がどのようにアクセスできるか(閲覧や編集、ダウンロードのような操作について、何が許可され何が許可されないのか)を設定する機能が備わっている。アプリケーションに対する権限管理のためには、Identity Governance and Administration(IGA)といった専門のツールも活用できる。
権限管理を実践する場合は、「誰が」「何を」「どのように」の3点を制御できるよう、各ツールのカバー領域を意識して選定すべきだ(図3)。図の上部に並ぶソリューション群は、左側は主にユーザーがアクセス権の種類や範囲を制限するツールで、右側が保護すべきファイルやデータの中身や操作内容を制限するツールである。これらのツールを組み合わせることで、アクセス範囲と操作内容を制限してセキュリティを実現する。
今後はこのようなテクノロジーを利用して、業務プロセスの中にセキュリティ(のための工程)を組み込んでいくことが重要になる。例えば「ファイルを作成したら、このボタンを操作してフラグを立てて、この画面で共有相手の操作権限を設定する」といった具体的な工程である。セキュリティを業務プロセスにまで落とし込むことで、日々の業務の中で事業部門の従業員がセキュリティを実践できるようになる。
操作ログはサーバー側で分析して危険行為を抽出。
(2)の見えないことへの対処では、オフィスでの目視に代えて、従業員の行動パターンを把握することが重要になる。日本では、PCの操作ログ管理ツールを活用するケースが見られたが、残念ながら膨大なログを確認しきれていない場合がほとんどだ。
例えば従業員が何らかのデータをダウンロードした場合、その行動だけでは通常の業務なのか不正な操作なのかを判断しづらい。しかし、日ごろの傾向がつかめていれば、それと違う行動を抽出できる。
「この従業員は日ごろからファイルをよくダウンロードするが、今日はいつもよりもデータ量が多い」といった異常を検知し、適切にフラグを立てる。こうして「疑うべきものを疑う」ための評価軸を持てるようになる。
ログの分析を、エンドポイント側からサーバー側へ移すアプローチも最近のトレンドだ。ユーザーの行動をネットワークや認証のログと組み合わせて、コンテクスト(前後関係、文脈)として読み取ることで、不正と思われる行為を正しく疑えるようにするものだ。
ただしログ分析システムを導入する際には、従業員のプライバシーを侵害しないよう、細心の注意を払う必要がある。本来の目的は、従業員の「セキュリティ面で問題がある行為」を発見することであって、従業員を監視することではない。プライバシーを侵すことなく、目的を達成する仕組みを構築すべきだ。
セキュリティ教育、職場で具体的なルールを周知すべき。
最後に、(3)の当事者意識の向上をどう図るべきかについて説明したい。どの企業でも、従業員のセキュリティに関する意識の高さには個人差があるものだ。セキュリティの重要性に対する認識が低い場合もあれば、単にルールを知らないだけの場合もある。従業員全員が同じレベルでセキュリティの役割を理解できるようにするための教育が欠かせない。
このセキュリティ教育では、目的と手段を逆転させないよう気を付ける。目的は、例えばデータを持ち出すときのプロセスや、メールで送っていいものと送ってはいけないものの区別など、守るべきセキュリティルールを理解させることだ。
そして、守るべきルールを浸透させることこそが、セキュリティ教育の最終目的のはずだ。最新のセキュリティ事情をテクニカルに詳しく説明することは、理解促進の手段にすぎない。
「年1回、研修を実施しているのにセキュリティに対する理解が浸透しない」といった声もよく聞く。しかし「ルールの周知」が達成できるまでは、年1回にこだわらず、実施回数を増やすべきである。
セキュリティに関するさまざまな内容を一度の研修で詰め込むよりも、ポイントを絞って1つずつ理解を高めるアプローチの方が、高い効果が得られる場合がある。例えるなら、工場のような製造現場で実践してきた「安全対策」の取り組みのようなものだ。
「ファイルを共有するときは〇〇する」のように短くてシンプルなセキュリティ標語を食堂やエレベータに貼り出したり、あるいはゲーム要素を取り入れたりするという小さな工夫などがある。これらは、手の込んだEラーニングコンテンツよりも低コストである割に、効果が上がりやすい。
事業部門を含めて従業員一人ひとりが当事者意識を持ってこそ、ルールが聞き流されることなく守られるようになる。こうした教育を、セキュリティ原則の合意形成との両輪で進めてもらいたい。
