内部不正を防止する仕組みと文化を無理なく構築する手法を専門家が語る：予防的措置と発見的統制を両立させる

内部不正の問題が深刻化している。その対策として予防的措置と発見的統制がポイントになるが、これらをどのように実践すべきか。

[PR／ITmedia]

PR

　企業は外部からのサイバー攻撃だけでなく内部不正にも対処する必要がある。コロナ禍以降は、業務環境が大きく変化したことで従来とは異なるポイントに注意する必要が出てきた。

　内部不正対策は予防的措置と発見的統制が重要になる。専門家によると前者にはプロセス構築が、後者には統計やルールベースを使ったシステムが有効だ。最近では、AI（人工知能）を組み合わせることでさらに検知の精度を上げる方法も出てきている。これらをどのように実践すべきか。

コロナ禍を経て深刻化する内部不正問題

NRIセキュアテクノロジーズ　大杉周平氏

　従業員による内部不正のリスクは、情報処理推進機構（IPA）の「情報セキュリティ10大脅威」の組織編に2015年から2024年までランクインし続けている。

　内部不正は、コロナ禍の前後で傾向に変化が見られる。NRIセキュアテクノロジーズの大杉周平氏（AIセキュリティ事業開発部 グループマネージャ）は次のように語る。

　「米国の犯罪学者・社会学者のドナルド・クレッシー氏は不正行為が起きる条件として『動機』『機会』『正当化』の3つを挙げました。コロナ禍で経済情勢が悪化したことが不正行為の『動機』になり、テレワークやクラウドサービスが普及して監視の目が届きにくくなったことで『機会』が生じました。行為者をその気にさせる土壌が整っています」

　内部不正の予防的措置を講じることも重要だが、リアルタイムでインシデントを検知して是正する発見的統制にも注力すべきだと大杉氏は話す。しかし、NRIセキュアテクノロジーズの飽田 健氏（MDRサービス部 　シニアセキュリティコンサルタント）は、発見的統制に取り組めていない企業が多いと語る。

NRIセキュアテクノロジーズ　飽田 健氏

　「外部からのサイバー攻撃はある程度パターンが決まっており、検知の仕組みも考えやすい傾向にあります。検知ルールの実装や監視運用などを当社のような企業に委託することも可能です。一方、内部不正は各社固有の業務プロセスで発生するものが多く、汎用（はんよう）的な検知ルールを使って検知しにくいという難点があります。人事情報などの機密情報も使って分析する必要がある場合は外部からのサポートが困難です。取り組みの難易度の高さが検討の着手を遅らせている一因と言えます」

　内部不正の手法も多様化しているので、一度作成したチェックリストを確認し続ければよいというものでもない。より良い業務環境をつくり、不正行為を抑止して従業員を守るために、発見的統制としての定常的なモニタリングが求められる。

内部不正対策の仕組みとシステム構築のポイント

　内部不正といっても以下のようにさまざまな種類があるため、一律で有効な対策を講じるのは簡単ではない。

内部不正の種類（出典：NRIセキュアテクノロジーズの提供資料）

　内部不正を予防するためには、最も守りたい情報を明確にして、どの部門がその情報を管理すべきかを考えることが重要だ。守りたい情報が複数あるのであれば、その責任や管理主体を整理して部門間の連携や共有を促進する。

　次に、システムでの対策方法を考える。最近は、AIを利用すれば簡単に内部不正を解決できるのではないかという意見もある。しかし、AIを利用して内部不正を検知するためには膨大な学習データが必要であるなど、幾つかの壁を乗り越えなければならない。Splunk Services Japanは、これを4つのステップで説明する。

　ステップ0は業務のデジタル化だ。紙媒体の情報はデジタルツールによるモニタリングが難しいためだ。

　ステップ1以降がシステムでの取り組みになる。Splunk Services Japanの福澤公之氏（技術統括本部　パートナー技術本部　パートナー・ソリューションエンジニア）は次のように解説する。

Splunk Services Japanの福澤公之氏

　「ステップ1は統計＆ルールベースでの検知です。内部不正対策に必要なデータを重要な順に取り込み、可視化して『いつもと違うことが起こっているかどうか』をレポートできるようにします。このベースラインを基に『退職者リストに載っている人がクラウドストレージに一定の量を超えたファイルをアップロードした』などの『こういうことが起こったら致命的』というルールを策定し、そのルールに基づいて逸脱した行為を検知します」

　検知ルールが増えるとアラートも増えるため、緊急度の高い順に対応するのが重要だが、緊急度の低いアラートにも不正の痕跡はある。そこでステップ2は、緊急度の低いアラートをユーザーあるいは端末ごとにリスクとして記録し、それぞれのリスクスコアを計算する。このリスクベースの検知で、緊急度の低いアラートの中から対処すべき不正を見つけられる。

　福澤氏は「ステップ1、ステップ2でデータの下準備ができたら、ステップ3はいよいよAIを使います。機械学習を利用して、『特定のユーザーがいつもと異なる接続先に大量にアクセスした』といった不審な振る舞いを検知できるようになります。ルールベースの検知は統計処理や条件式が求められますが、AIを使えばその必要はありません。3ステップで環境を整備することの良いところは、AIが検知した異常を、ステップ1と2で検知したアラートやそれらの基になっている生データと組み合わせて解釈することで、外部に説明責任を果たせることです。『根拠はよく分からないがAIが見つけた』というようなことにはなりません」と語る。

複数ステップでの内部不正対策のアプローチ（出典：Splunk Services Japanの提供資料）

内部不正対策として早く結果を出すならSplunk Enterprise Security

　「Splunk Enterprise Security」（以下、Splunk ES）は、上記の4ステップによる内部不正対策を、比較的短期間で実施できるSIEM製品だ。統合ログ管理ツール「Splunk Enterprise」や、Splunk Enterpriseの機能をSaaSとして提供する「Splunk Cloud」にSplunk ESを追加することでセキュリティに特化したデータをリアルタイムで収集、分析、可視化できる。

　ステップ1の統計＆ルールベースの検知はSplunk EnterpriseやSplunk Cloudのみでも可能だが、検知すべきルールやデータを見るためのダッシュボードをスクラッチで開発しなければならない。検知ルールやダッシュボードを豊富に搭載しているSplunk ESを導入すれば、本番稼働までのリードタイムを短縮し、より早く価値を実現できる。

　ステップ2のリスクベースの検知もSplunk ESで実現する。ここでのリスク計算は、『退職者の行為は重み付けを増す』など、計算式をカスタマイズできる。柔軟に設定できるので、より自社に合った検知が可能だ。

　ステップ3のAIによる検知は、Splunk ESに「Splunk User Behavior Analytics」（以下、Splunk UBA）という行動分析ツールを組み合わせることで未知の脅威を検出できる。

　Splunk UBAは、Splunk ES用に取り込んだデータを使って、教師なし機械学習で自動的に「異常」を検知して、さらに複数の異常を相関させて「脅威」を検知する。これらの異常や脅威はSplunk ESにアラートとして連携させることが可能だ。

　Splunk製品はデータの取り込みに関しても強みがある。「Splunkbase」というマーケットプレースで、他社のさまざまなセキュリティ製品が出力するデータを取り込むための「Add-on」という拡張機能を提供しており、これらを利用すれば短時間でデータを取り込める。

　「ICカードによる入退室のデータ」といったAdd-on機能が提供されていないデータについても、Web画面で該当のデータを確認しながらGUI操作でデータの意味付け（フィールドの抽出）ができるなど、短時間で取り込み作業を完了させるための仕組みがある。

　内部不正対策でSplunk ESやSplunk UBAに取り込んだデータをそのまま外部脅威対策に転用することも可能だ。一度の投資を他のユースケースに生かせることもSplunk製品の特徴だという。

内部不正をさせない組織文化の醸成を支援

　内部不正対策で何より肝心なのは、どの情報を守るかという方針の策定だ。NRIセキュアテクノロジーズは、計画の策定からシステム構成の立案、システムの代理販売、導入、運用の定着までワンストップで支援するコンサルティングサービスを提供している。上流設計だけでなく、「誰がどう検知して、事象ごとに誰にエスカレーションするのか」といった運用ルールの作成も含めてきめ細かなサポートを提供するのが特長だ。

不正予防・検知の考え方の例。そもそも内部不正を発生させないという観点で組織文化の変革から支援を提供する（出典：NRIセキュアテクノロジーズの提供資料）

　「そもそも不正を発生させないのが理想です。そのための組織文化の醸成も伴走して支援します」（大杉氏）

　「セキュリティログ監視サービス」も提供している。ログに基づいてカスタマイズで検知ルールを作成して、それに沿って24時間365日体制でモニタリングを実施する。

　NRIセキュアテクノロジーズとSplunk Services Japanは協業実績も多い。あるSplunk ESのユーザー企業で不正出金事案が発生した際、NRIセキュアテクノロジーズとSplunk Services Japanが対策チームを結成。より厳密な検知ロジックの策定や運用フローを整備してセキュリティレベルの高度化に貢献した。

　内部不正の予防的措置と発見的統制を実現するには、NRIセキュアテクノロジーズとSplunk Services Japanをパートナーに選ぶのが安心だ。企業は内部不正対策を先送りにすることなく、重要な経営課題と捉えて対策する必要がある。

Amazonギフトカードが当たる！アンケート実施中

本記事に関連して「セキュリティ対策」についてのアンケートを実施しています。回答された方から抽選で10名様にAmazonギフトカード3000円分をプレゼントいたします。ぜひ下記アンケートフォームよりご回答ください。当選発表は発送をもって代えさせていただきます。

ログイン または 会員登録（無料）いただくとアンケートフォームが表示されます。オレンジ色の「アンケートに回答する」ボタンからアンケート回答をお願いいたします。