情報漏えいの脅威は社内にも 従業員を疑う前にできるコト 内部不正対策は「99％のまじめな従業員を守るために」

[PR／ITmedia]

PR

　デジタル化によって企業が扱うデータは増大した。それに合わせて、機密情報や個人情報の漏えい事件も頻発している。第三者が盗み出した情報を材料に身代金を要求するランサムウェアの被害が大きく報道されているが、従業員のミスや故意による情報漏えいも後を絶たない。

　事実、情報処理推進機構（IPA）が毎年まとめている「情報セキュリティ10大脅威」では、順位こそ変動があるものの2015年以降は常に「内部不正による情報漏えい」がランクインしている。またIPAの「企業における営業秘密管理に関する実態調査2020」では、営業秘密の漏えいルートの87.6％が「内部から」という結果だった。

ソフトバンクの近藤直人氏（法人事業統括 法人プロダクト＆事業戦略本部 セキュリティ事業統括部 セキュリティサービス第1部 サービス企画3課）

　「企業が何らかの情報漏えい対策を検討する場合、真っ先に意識するのは外部からの攻撃です。外からの脅威をいかに食い止めるかという防御に目が行きがちになります。しかし、それだけでは本当の原因に対処できません」――こう指摘するのは、ソフトバンクの近藤直人氏（法人事業統括 法人プロダクト＆事業戦略本部 セキュリティ事業統括部 セキュリティサービス第1部 サービス企画3課）だ。

ソフトバンクの野口昌利氏（法人事業統括 法人プロダクト＆事業戦略本部 セキュリティ事業統括部 担当課長）

　では、企業は内部からの情報漏えいをどう防げばいいのか。今回は対策と取り組み方を、内部不正に起因する情報漏えい対策に全社を挙げて取り組むソフトバンクの近藤氏と野口昌利氏（法人事業統括 法人プロダクト＆事業戦略本部 セキュリティ事業統括部 担当課長）に教えてもらった。

コロナ禍で高まる内部不正リスク　対応はコンプライアンス上も重要に

　いまや企業にとっての情報は重要度を増している。例えば、企業が預かる個人情報、長年かけて培った技術は事業の強力な武器になる一方で、万が一漏えいすれば顧客に多大な迷惑が掛かり、ブランド価値も低下するなど経営へのダメージは計り知れない。

　さらに「個人情報保護法」や「不正競争防止法」の改正が続くなど情報資産の管理を巡る法制度も強化されつつある。そのため、企業のコンプライアンスという観点でも内部不正対策が必要になっていると野口氏は説明する。

　企業として情報漏えいに気を配っていても、従業員がどう動くかは分からない。機密情報を持ち出すといったケースだけでなく、単なるミスや勘違いで情報が漏れるケースもある。さらに雇用の流動化が進んだことで、退職者が転職先への“お土産”として機密情報を渡すこともある。

　特にコロナ禍でテレワークを導入した企業では、オフィスに出社して業務していたころより内部不正による情報漏えいのリスクが高まっていると近藤氏は指摘する。在宅勤務は上司や同僚の視線がないため、個人の環境にデータをコピーできる他、転職先と連絡を取れてしまうからだ。

内部不正対策は従業員を疑うのではなく、「守るため」のもの

　こうした状況を踏まえると、内部不正対策の重要度が見えてくる。もちろん対策の必要性は過去にも取り上げられている。従業員による大規模な情報持ちだし事件がある度に対策の機運が高まった。しかしその多くは、PCの挙動を監視するソフトウェアを使って従業員を見張る仕組みで、その前提には「疑い」があったといえる。

　「従業員を疑うことよりも『守る』という視点が大切です。内部不正対策ツールを導入すると、監視されていると感じる人もいます。『私は真面目に仕事をしているのに』と不信感が生まれるかもしれません。そこで、まず内部不正対策がなぜ重要かを説明し、従業員を守るための対策であるという啓発から始めていくことがポイントです」（野口氏）

　情報漏えいの中には悪意を持った犯行もあるが、そうではない単なるミスも多い。うっかり他人宛のメールに個人情報を添付して送ってしまったり、業務を効率的に行うためにUSBメモリや許可されていないオンラインストレージに情報を保存したものが外部に漏れてしまったりといった例だ。

　「たまたま社内ルールを知らない、偶然ミスをしてしまうというのは誰にでも起こりえます。これを未然に防止することで、従業員の皆さんが意図せず違反者にならないようにする、皆さんを守るための内部不正対策であるという観点で取り組むことが重要です」（近藤氏）

システム的な対策＋従業員のマインドセット　この組み合わせが大切

　実際に内部不正対策に取り組む際には、第一歩として「情報漏えいで企業や従業員個人にどのような影響があるか」を社内研修やeラーニングで伝えて、対策に向けたマインドセットを醸成する。その素地があってはじめて、システム的な対策が効果を発揮する。

　システム面からの対策には、押さえるべきポイントがいくつかある。従来の対策はUSBメモリへの書き出しを禁じたり、特定のWebサイトへの投稿を制限したりといった具合に、小分けの対策なので見逃しも多かった。全ての操作ログを残す企業もあるが「万が一に備えて残しておく」だけにとどまっており、実効性ある対策につながっているか疑問だと近藤氏は話す。

　こうした企業は何か起きたら調査するという姿勢なので、未然に防ぐのは難しい。それに情報漏えいが起きてから大量のログデータを調査しようにも、いつ誰がどんな操作を行い、どのファイルやデータがリスクにさらされたのかという一連の流れを追う作業は多くの手間と時間がかかってしまう。

未然防止や画面キャプチャー取得――理想の対策を聞く

　では、どのような対策が理想なのだろうか。もちろん後から原因を解明するのは重要だが、できれば問題が発生する前に未然防止できるのがベストだ。そうなると、怪しい予兆や不正の操作に反応してアラートを出すなど、何らかの形で食い止める手段が適している。

　さらに、あらぬ疑いをかけないためには明らかな証拠を残すことが必須だ。ファイルのコピーという操作一つとっても、外部に持ち出そうとしたのか、急ぎの仕事でやむを得なかったのかをログだけで判別するのは難しい。

　悪意を持った操作なのか、業務のためなのかを判断するために、画面キャプチャーのような証拠を取得できるツールが適していると近藤氏はアドバイスする。これなら調査する際もログではなく、操作の様子を画像で見られるので管理者側の負担も減らせる。

　そして、内部不正にはいくつかのパターンがある。その検知ルールを一から内部不正対策ツール上に設定するのはハードルが高い作業だ。できれば、ツール自体に監視ルールやポリシーが設定されており、すぐに使えるツールを選ぶことが望ましいと野口氏は勧める。

対策として導入するシステムのポイント（クリックで拡大）

内部不正対策に取り組むソフトバンク　懸念事案の調査時間を半減させた方法は？

　具体的な対策方法を聞いてきたが、ここでソフトバンクが実際に取り組む対策を見ていく。同社では、まずeラーニングや社内報を通じて少しずつ内部不正対策の重要性について啓発を進めていった。並行して社内就業規則などの情報管理ガイドラインを再整備した。

　その上で、米Proofpoint社の内部不正対策ツール「Proofpoint ITM（Insider Threat Management）」を採用し、約5万台の端末に導入した。同ツールには、Proofpoint社が培った知見に基づく内部不正検知のためのポリシーが300種類以上プリセットしてある。ソフトバンクでは導入時に、このポリシーを入念にチューニングして精度の向上に努めた。

　効果はすぐに出た。「運用開始後、実際に不審な動きがあったときには、悪意があるのか業務の一環なのかを判断する時間を従来の半分ほどに削減できました。管理者や内部監査に当たる担当者の負担も大きく減っています」（野口氏）

画面キャプチャーで操作内容を把握、悪意があるか判断しやすくなった

　負担軽減に役立ったのが、Proofpoint ITMの画面キャプチャー機能だ。従業員の画面をキャプチャーし、動画のように操作を追える。これにより意図的な操作なのかミスなのか判断しやすくなった。

　さらにProofpoint ITMは、従業員の操作を解析して内部不正のリスクをスコア化して表示する機能がある。管理画面で一括管理できるため、スコアが高い従業員に注意するなど未然防止に役立てられる。さらに怪しい操作を時系列に沿って把握でき、自動付与されたフラグからキャプチャーを再生できるので素早く現状を把握できる。

Proofpoint ITMの画面キャプチャーで、従業員の操作を把握できる

管理画面から内部不正のリスクを確認できる

適切な内部不正対策は、会社への不信感の芽をつめる

　ソフトバンクでは、Proofpoint ITMを活用することで効果的な内部不正対策を実現した。リスクのスコアや画面キャプチャーで事前調査をすることで、本人への聞き取りが不要になったケースもある。従業員を疑いながら聞き取りする、内部監査の担当者の心理的負担を和らげた。従業員に不要な疑いをかけなくて済むので、疑われた従業員が会社に不信感を抱くといった悪影響も阻止できる。

　従業員側はどうかというと、特に監視されていると意識することなく業務に取り組めていると近藤氏は話す。ただし、定期的に「情報の取り扱いに注意してください」とProofpoint ITM経由でPCにポップアップ表示して心理的な抑止効果を維持している。

「99.99％のまじめな従業員を守るための対策が必要」

　内部不正対策の必要性と実際の取り組み方を見てきた。近藤氏と野口氏が口をそろえて言うのは、悪い従業員を見つけるための内部不正対策ではなく、従業員を守るという考え方だ。

　「内部不正対策は難しい問題ですが、きちんと会社に貢献している99.99％のまじめな従業員を守るために、しっかりした対策やツールを導入することが大切です。そして必要なときに、きちんと白黒を判定できる体制を整えることが必要です」（野口氏）

　こうした考えに基づき、ソフトバンクでは同社の経験とノウハウを生かして企業の内部不正対策を支援している。使いやすくチューニングしたProofpoint ITMを提供する他、デモンストレーション環境を整備するなど、情報漏えいの被害を減らし、大切な従業員を守るためのサポートをしている。

　情報漏えいを経験して内部不正対策を検討している、リスクを抑えるために対策の必要性を感じているという人は、ソフトバンクに声を掛けてみてはいかがだろうか。同社の知見を活用して、自社に適した対策に取り組むのを手伝ってくれるはずだ。