性善説では対処できない内部情報漏洩、99.99%の善良な従業員をいかに守るか
2024年4月10日(水)11時49分 マイナビニュース
●
「大量退職時代」の影響から増えている内部情報漏洩
「従業員が顧客情報を紛失してしまった」「退職者が企業秘密を持ち出して同業他社に転職してしまった」
残念ながら、そんなニュースが頻繁に発生しています。しかも、メディアで報じられるのは個人情報保護法や不正競争防止法に抵触した氷山の一角に過ぎず、実際には、内部関係者による情報漏洩はもっと多く発生していると考えるべきでしょう。
内部犯行の中には、単にルールを知らなかったり、注意不足でミスを犯してしまったりするケースもあります。しかし、目立っているのは元従業員・元職員や派遣社員が意図的に情報を外部に持ち出すケースです。
背景には「大量退職時代」の到来があります。
新型コロナウイルスの流行はさまざまな影響を及ぼしましたが、その一つが人材流動の活発化です。アメリカの退職率は2022年に過去最多を記録しました。また、日本でも退職率は増加の一途をたどっており、2022年には過去7年間で最多となっています。
さらに数だけでなく、質的な変化が見られることも最近の退職の特徴です。いわゆる「働き盛り」と言われる20代〜50代の正社員、特に男性やエンジニア職の転職が盛んになっており、より良いキャリアや待遇を求めて転職することが当たり前になりつつあります。
これ自体は歓迎すべき傾向でしょうが、情報管理に携わる立場からは頭痛の種となりつつあります。プルーフポイントがグローバルで行った調査によると、セキュリティに責任を持つCISOのうち実に82%が「退職者が情報漏洩に関わっていた」と回答しています。
事実、この数年に発生した情報漏洩事件を振り返ってみても、退職者が内部情報・機密情報を転職先への「手土産」にしたケースが頻発しています。中には、会社間での損害賠償請求訴訟に発展したり、不正競争防止法違反で逮捕されたりする例まであります。ここまで深刻な事例に至らなくとも、前職で作成したマニュアルやガイドライン、あるいは顧客名簿などを転職先でも流用するケースは、残念ながら後を絶ちません。
「人」は最も危険な脆弱性、外部脅威よりも圧倒的に多い内部からの情報漏洩
内部犯行による情報漏洩の多発は、個別のニュースだけでなく統計データからも明らかです。
例えば、情報処理推進機構(IPA)の「企業における営業秘密管理に関する実態調査2021」によると、営業秘密が漏洩するルートとして最も多いのは「中途退職者による漏洩」となっています。次に「現職従業員による誤操作・誤認など」「現職従業員のルール不徹底」と内部関連の要因が続き、四位にようやく「サイバー攻撃」という外部の要因が登場します。このサイバー攻撃と同率で「現職従業員による金銭目的等の具体的な動機を持った漏洩」も挙がっています。
こうした数字を集計していくと、日本で発生した営業秘密漏洩のうち87.6%が内部脅威によるもので占められています。サイバー攻撃など外部の要因に起因する情報漏洩はわずか8%に過ぎず、その10倍もの漏洩が内部脅威によって発生してしまっているのです。
海外の調査を見ても同様です。ベライゾンの「データ漏洩/侵害調査報告書(DBIR)」によると、データ侵害の74%は人的な要因に起因するものでした。また、世界経済フォーラムの調査によれば、サイバーセキュリティ問題のうち95%がヒューマンエラーに起因しており、43%は内部脅威、内部不正によるものだといいます。
内部脅威のリスクは、最近になって突然浮上したものではなく、長年にわたって課題であり続けてきました。IPAの「10大脅威」を眺めてみると、まとめが始まってからの過去14年ずっと「内部不正」「内部脅威」がランクインし続けています。
つまり、「人」は企業にとって最も重要な資産であることに間違いありませんが、同時に、最も危険な脆弱性にもなり得ます。特に内部関係者は「重要なデータは何か」「どこに保存されているか」といった事情にも詳しく、その気になればピンポイントで機密情報を持ち出せてしまうことに注意が必要なのです。
したがって、情報漏洩対策を考える際には、外部からのサイバー攻撃だけでなく、内部からの情報漏洩対策、内部不正対策が非常に重要と言えます。
不正競争防止法の改正により保護対象が拡大
では、どうやって内部からの情報漏洩を防いでいけばいいのでしょうか。
まず、法制面での対策が進んでいます。一例が、昨年行われた不正競争防止法の改正です。この改正では保護対象が広がり、有体物だけでなくデジタル上の情報資産も規制対象となったほか、規制すべき対象としていわゆる産業スパイに加え、退職者や業務委託先の行為が含まれることになりました。
そして、経済安全保障上、企業の持つデジタル資産を保護して経済的な競争優位性を保つために、不正競争防止法に反する行為に対し、日本の裁判所において民事訴訟を提訴できる旨が明記されています。
ただ、不正競争防止法が適用される前提として、保護すべき資産を「営業秘密」として管理しなければならないことがあります。具体的には、その情報を秘密として適切に管理しなければならず、かつその情報に有用性があり、しかも公然と知られたものではなくその会社の中でしか得られないものである、という3つの条件を満たすことによって初めて、営業秘密として認められます。
知的財産が競争力の源泉になっていることもあり、不正競争防止法に基づく営業秘密侵害の摘発件数は右肩上がりで、2022年には30件に達する勢いとなりました。今後も注視が必要でしょう。
内部情報漏洩対策の基本三原則
こうした法制度の後押しだけでなく、企業自身も何らかの手を打つ必要があります。その際に参考にしたいのが、内部情報漏洩対策の基本三原則です。
1つ目は「守るべき情報資産の定義と洗い出し」です。不正競争防止法でも言及されていますが、何が機密情報・個人情報に該当し、守るべき資産であるかを定義し、社員誰もがわかるように提示する必要があります。
2つ目は、そうやって定義した「情報資産へのアクセス管理」です。たびたび言われてきたことですが、複数のユーザーでIDを共有するのが論外なのはもちろん、必要な人だけに適切なアクセス権限を与え、退職・転職した人のアクセス権限は迅速に剥奪していく、といったID権限の管理が非常に重要になります。
3つ目は、こうした管理を実施するだけでなく、きちんと「運用・監視」していくことです。ログを監視し、アクセス管理が機能しているかを確認する体制が求められます。ただ同時に、従業員のプライバシーが保てるよう留意するとともに、監視要員がさらされるストレスを軽減する仕組みもあることが望ましいでしょう。
このような仕組み面での対策に加え、従業員や業務委託先と「秘密保持契約」を結ぶことも重要です。社員の入れ替わりが激しい時代となったことを踏まえ、入社時などに一度締結して済ませるのではなく、毎年説明し、契約を結び直す企業も増えています。
もう1つ、大量退職時代の内部情報漏洩対策として新たに注目したいのが「退職プロセス」です。
新たに社員が入社する際には、人事や法務、上司によるオリエンテーションを通じて、社内の福利厚生や制度、情報セキュリティに関する案内がなされるはずです。一方、退職時となると、業務の引き継ぎは行うにしても、一貫したプロセスが整備されているケースはあまりありません。個人にとって退職時の記憶は非常に残りやすく、もしここでネガティブな経験をしてしまうと、情報持ち出しや破壊といった不正行為を行う「動機」が生まれてしまいかねません。
●
退職プロセスの整備でリスクの低減を
そうした事態を避けるために、退職プロセスを整備し、退職によって引き起こされるリスクを低減することが重要です。
一般的に退職に伴うさまざまな手続きや説明は、直属の上司が行うケースが大半です。しかし、上司は必ずしも退職プロセスに関するトレーニングを受けているわけではありません。そのうえ、退職者本人との距離が近いため、必要なタスクの見落としや、「ここまで説明しなくても大丈夫だろう」と自己判断で飛ばしてしまう可能性があります。
その結果、退職者が「そんな話は聞いていない」とネガティブな感情を抱いてしまう不幸なケースが起こりかねません。
それを避けるためにも、上司とは別に、きちんとトレーニングを受けた人物が「退職プロセスオーナー」となって、明確に文書化された退職プロセスに沿って、退職に関するオリエンテーションや経費精算、PCの引き渡しやアクセス権限管理、リスク・コンプライアンスに関するガイダンスといったタスクを着実に実行すべきです。
なお、この退職プロセスは一つだけとは限らず、退職時の役割や勤務地、「出戻り転職」を許すかどうかや転職先が競合かどうかといった条件に応じて、複数用意しておくことが望ましいでしょう。
そして、この退職プロセスを一貫した形で実行するため、ID管理基盤や自動化といったテクノロジの力を組み合わせることも有効です。
例えば退職の申請が上がったら、ネットワークのアクセス権限を剥奪し、最終的にはアカウントを抹消していくといったプロセスを自動的に進めることで、ミスによって退職者が外部からシステムにアクセス可能な状態になっていた——こうした事態を避けることができます。
また、機密情報を保護する情報漏洩対策ソリューションを活用して当該退職者の振る舞いを可視化し、出来心などで持ち出しを図ろうとした際にはリアルタイムに注意喚起を行い、水際で食い止めることも可能です。このように、ルールやプロセスに加え、テクノロジを適切に組み合わせることもポイントと言えるでしょう。
不正のトライアングル、「動機」以外の二要素を削ることで抑止を
改めて、日本で発生した内部不正、内部脅威による情報漏洩事件の傾向を確認してみましょう。
プルーフポイントがまとめたところ、国内で一番多いのは、ここまでも繰り返し登場した「退職に伴う情報漏洩」です。次は、権限が集中している「システム管理者による情報漏洩」や「委託先からの情報漏洩」で、現に数十万件、数百万件といった個人情報が外部に持ち出される事件が発生しています。さらに、上司とのトラブルなど職場環境に起因する不正行為や、ルール不徹底に起因する不正行為も無視できない数に上っています。
ここでもう一つ留意したいのが、「なりすましアカウントによる情報窃取」です。外部の攻撃者が正規のアカウントを盗み出し、それを用いて内部の人間に成り済ました上で情報漏洩を働くパターンです。
多くの企業では、ファイアウォールやアンチウイルス、EDRといったソリューションを導入して外部からの不正侵入に備えています。これらは、MITERのATT&CKフレームワークでいう「認証情報へのアクセス」が起こる前の段階に備えた対策です。しかし、他のところで流出した情報を悪用したり、脆弱性を悪用したりしてアカウント情報を入手され、なりすましに悪用されてしまった場合、こうした振る舞いを検知、ブロックする手段はあまり存在しません。
このように考えると、たとえ認証を経た正規のユーザーであっても、ゼロトラストセキュリティの考え方に基づいて、疑わしい挙動をしていないかどうかを見ていく仕組みが必要です。
なりすましも含めた内部脅威による情報漏洩は、非常に多くの損失をもたらします。IBM Security Ponemon Instituteのレポートによると、内部脅威によって発生したインシデントの平均コストは64万6000ドル、日本円にして9000万円を超えました。かつ、企業の60%では一年間に30件以上の内部脅威インシデントが発生しているため、これを掛け合わせると一組織あたりの年間総コストは約22億円に上る計算です。
「内部不正のトライアングル」に注目
これだけの損失が引き起こされることを念頭に置き、いかに内部脅威を抑えるか、真剣に検討しなければならない時期に来ています。
その際に参考にしたいのが、アメリカの犯罪学者、ドナルド・クレッシーが提唱した「内部不正のトライアングル」です。この理論によると、内部不正は動機と機会、正当化という3つの条件がそろった時に行われます。
ただ、このうち「動機」をつぶすのは現実的には困難です。金銭、名誉欲や承認欲求、あるいは自身の信念など動機は一人一人異なり、対策しづらいからです。となると、残る機会、もしくは正当化の理由のどちらかを排除することが、内部不正対策に有効と言えます。
例えばリアルタイムな監視の仕組みを整え、内部不正を働いたときに捕まるリスクを高め、機会を潰すことで犯行を抑止するのは、有効なアプローチの一つと言えるでしょう。また、コンプライアンス教育を定期的に実施し、ルールの周知を徹底することによって、内部犯行を正当化する理由を排除することも重要です。
こうした内部不正に特化したソリューションを導入することで、リモートワークをしていたり、退職が近かったりで、機会や正当化の理由が増えがちな従業員の振る舞いを可視化し、リアルタイムに牽制することができます。それがひいては、情報漏洩の抑止につながります。
もちろん、手元のスマートフォンで書類を撮影して持ち出すことや、自分の頭に記憶するといった手法になると、こうしたソリューションで止めるのは不可能です。それを防ぐには、なぜ持ち出してはいけないのか、仮に持ち出した場合にはどのような損害賠償請求を受ける恐れがあるのかといった事柄を伝えるコンプライアンス教育の徹底しかありません。
また、先に触れたように、入社時・退職時だけでなく毎年機密保持契約を結ぶことや、細かく注意喚起を出すことも抑止につながるでしょう。
大多数の善良な従業員を守るためにも、内部脅威対策への取り組みを
内部不正の話ばかりしていると、「そんなに従業員のことが信じられないのか」と感じる人もいるかもしれません。もちろんその通りで、おそらく従業員の99.99%は不正など考えもつかない善良な人々です。そのほぼ大多数の善良な従業員を守るためにも、0.01%の従業員に抑止をかけることが重要なのです。
折しもニューノーマル時代、世界は大きく変化し、クラウドシフトやテレワークが浸透しました。それらを狙うサイバー攻撃は洗練化され、背景に国家の思惑の潜む経済安全保障問題も浮上しています。そして、前述の通り大量退職の時代が到来しています。
こうした変化を踏まえ、多くの企業ではゼロトラストに基づくセキュリティ対策の見直しを図り、サプライチェーンリスクにも対策するなど、さまざまな対策を講じ始めています。ここで盲点になりがちなのが内部脅威対策です。繰り返し示してきた通り、内部からの情報漏洩は無視できない割合を占め、かつもたらすインパクトが大きいにもかかわらず、セキュリティ投資の多くは外部からの侵害に備えるものに費やされ、内部脅威対策の比率は少ないままです。
性善説を信じたい気持ちも大切ですが、もはやそれが通用しない時代が到来しています。外部攻撃によるリスクよりもずっと大きな内部脅威のリスクにしっかりと目を向け、個人の信頼性の確認や、後追いのアラートではないリアルタイムな抑止といった対策をとっていくべき時期に来ていると言えるでしょう。
増田 幸美 そうた ゆきみ 日本プルーフポイント株式会社 チーフ エバンジェリスト。 早稲田大学卒業。日本オラクルでシステム構築を経験後、ファイア・アイで脅威インテリジェンスに従事。サイバーリーズン・ジャパンではエバンジェリストとして活動、千葉県警サイバーセキュリティ対策テクニカルアドバイザーを務める。現職ではサイバーセキュリティの啓蒙活動に携わり、InteropやSecurityDays、警察主催などカンファレンスなどで講演多数。世界情勢から見た日本のサイバーセキュリティの現状を分かりやすく伝えること使命としている。警察大学校講師。Cybersecurity of Woman Japan 2023受賞。 この著者の記事一覧はこちら
「大量退職時代」の影響から増えている内部情報漏洩
「従業員が顧客情報を紛失してしまった」「退職者が企業秘密を持ち出して同業他社に転職してしまった」
残念ながら、そんなニュースが頻繁に発生しています。しかも、メディアで報じられるのは個人情報保護法や不正競争防止法に抵触した氷山の一角に過ぎず、実際には、内部関係者による情報漏洩はもっと多く発生していると考えるべきでしょう。
内部犯行の中には、単にルールを知らなかったり、注意不足でミスを犯してしまったりするケースもあります。しかし、目立っているのは元従業員・元職員や派遣社員が意図的に情報を外部に持ち出すケースです。
背景には「大量退職時代」の到来があります。
新型コロナウイルスの流行はさまざまな影響を及ぼしましたが、その一つが人材流動の活発化です。アメリカの退職率は2022年に過去最多を記録しました。また、日本でも退職率は増加の一途をたどっており、2022年には過去7年間で最多となっています。
さらに数だけでなく、質的な変化が見られることも最近の退職の特徴です。いわゆる「働き盛り」と言われる20代〜50代の正社員、特に男性やエンジニア職の転職が盛んになっており、より良いキャリアや待遇を求めて転職することが当たり前になりつつあります。
これ自体は歓迎すべき傾向でしょうが、情報管理に携わる立場からは頭痛の種となりつつあります。プルーフポイントがグローバルで行った調査によると、セキュリティに責任を持つCISOのうち実に82%が「退職者が情報漏洩に関わっていた」と回答しています。
事実、この数年に発生した情報漏洩事件を振り返ってみても、退職者が内部情報・機密情報を転職先への「手土産」にしたケースが頻発しています。中には、会社間での損害賠償請求訴訟に発展したり、不正競争防止法違反で逮捕されたりする例まであります。ここまで深刻な事例に至らなくとも、前職で作成したマニュアルやガイドライン、あるいは顧客名簿などを転職先でも流用するケースは、残念ながら後を絶ちません。
「人」は最も危険な脆弱性、外部脅威よりも圧倒的に多い内部からの情報漏洩
内部犯行による情報漏洩の多発は、個別のニュースだけでなく統計データからも明らかです。
例えば、情報処理推進機構(IPA)の「企業における営業秘密管理に関する実態調査2021」によると、営業秘密が漏洩するルートとして最も多いのは「中途退職者による漏洩」となっています。次に「現職従業員による誤操作・誤認など」「現職従業員のルール不徹底」と内部関連の要因が続き、四位にようやく「サイバー攻撃」という外部の要因が登場します。このサイバー攻撃と同率で「現職従業員による金銭目的等の具体的な動機を持った漏洩」も挙がっています。
こうした数字を集計していくと、日本で発生した営業秘密漏洩のうち87.6%が内部脅威によるもので占められています。サイバー攻撃など外部の要因に起因する情報漏洩はわずか8%に過ぎず、その10倍もの漏洩が内部脅威によって発生してしまっているのです。
海外の調査を見ても同様です。ベライゾンの「データ漏洩/侵害調査報告書(DBIR)」によると、データ侵害の74%は人的な要因に起因するものでした。また、世界経済フォーラムの調査によれば、サイバーセキュリティ問題のうち95%がヒューマンエラーに起因しており、43%は内部脅威、内部不正によるものだといいます。
内部脅威のリスクは、最近になって突然浮上したものではなく、長年にわたって課題であり続けてきました。IPAの「10大脅威」を眺めてみると、まとめが始まってからの過去14年ずっと「内部不正」「内部脅威」がランクインし続けています。
つまり、「人」は企業にとって最も重要な資産であることに間違いありませんが、同時に、最も危険な脆弱性にもなり得ます。特に内部関係者は「重要なデータは何か」「どこに保存されているか」といった事情にも詳しく、その気になればピンポイントで機密情報を持ち出せてしまうことに注意が必要なのです。
したがって、情報漏洩対策を考える際には、外部からのサイバー攻撃だけでなく、内部からの情報漏洩対策、内部不正対策が非常に重要と言えます。
不正競争防止法の改正により保護対象が拡大
では、どうやって内部からの情報漏洩を防いでいけばいいのでしょうか。
まず、法制面での対策が進んでいます。一例が、昨年行われた不正競争防止法の改正です。この改正では保護対象が広がり、有体物だけでなくデジタル上の情報資産も規制対象となったほか、規制すべき対象としていわゆる産業スパイに加え、退職者や業務委託先の行為が含まれることになりました。
そして、経済安全保障上、企業の持つデジタル資産を保護して経済的な競争優位性を保つために、不正競争防止法に反する行為に対し、日本の裁判所において民事訴訟を提訴できる旨が明記されています。
ただ、不正競争防止法が適用される前提として、保護すべき資産を「営業秘密」として管理しなければならないことがあります。具体的には、その情報を秘密として適切に管理しなければならず、かつその情報に有用性があり、しかも公然と知られたものではなくその会社の中でしか得られないものである、という3つの条件を満たすことによって初めて、営業秘密として認められます。
知的財産が競争力の源泉になっていることもあり、不正競争防止法に基づく営業秘密侵害の摘発件数は右肩上がりで、2022年には30件に達する勢いとなりました。今後も注視が必要でしょう。
内部情報漏洩対策の基本三原則
こうした法制度の後押しだけでなく、企業自身も何らかの手を打つ必要があります。その際に参考にしたいのが、内部情報漏洩対策の基本三原則です。
1つ目は「守るべき情報資産の定義と洗い出し」です。不正競争防止法でも言及されていますが、何が機密情報・個人情報に該当し、守るべき資産であるかを定義し、社員誰もがわかるように提示する必要があります。
2つ目は、そうやって定義した「情報資産へのアクセス管理」です。たびたび言われてきたことですが、複数のユーザーでIDを共有するのが論外なのはもちろん、必要な人だけに適切なアクセス権限を与え、退職・転職した人のアクセス権限は迅速に剥奪していく、といったID権限の管理が非常に重要になります。
3つ目は、こうした管理を実施するだけでなく、きちんと「運用・監視」していくことです。ログを監視し、アクセス管理が機能しているかを確認する体制が求められます。ただ同時に、従業員のプライバシーが保てるよう留意するとともに、監視要員がさらされるストレスを軽減する仕組みもあることが望ましいでしょう。
このような仕組み面での対策に加え、従業員や業務委託先と「秘密保持契約」を結ぶことも重要です。社員の入れ替わりが激しい時代となったことを踏まえ、入社時などに一度締結して済ませるのではなく、毎年説明し、契約を結び直す企業も増えています。
もう1つ、大量退職時代の内部情報漏洩対策として新たに注目したいのが「退職プロセス」です。
新たに社員が入社する際には、人事や法務、上司によるオリエンテーションを通じて、社内の福利厚生や制度、情報セキュリティに関する案内がなされるはずです。一方、退職時となると、業務の引き継ぎは行うにしても、一貫したプロセスが整備されているケースはあまりありません。個人にとって退職時の記憶は非常に残りやすく、もしここでネガティブな経験をしてしまうと、情報持ち出しや破壊といった不正行為を行う「動機」が生まれてしまいかねません。
●
退職プロセスの整備でリスクの低減を
そうした事態を避けるために、退職プロセスを整備し、退職によって引き起こされるリスクを低減することが重要です。
一般的に退職に伴うさまざまな手続きや説明は、直属の上司が行うケースが大半です。しかし、上司は必ずしも退職プロセスに関するトレーニングを受けているわけではありません。そのうえ、退職者本人との距離が近いため、必要なタスクの見落としや、「ここまで説明しなくても大丈夫だろう」と自己判断で飛ばしてしまう可能性があります。
その結果、退職者が「そんな話は聞いていない」とネガティブな感情を抱いてしまう不幸なケースが起こりかねません。
それを避けるためにも、上司とは別に、きちんとトレーニングを受けた人物が「退職プロセスオーナー」となって、明確に文書化された退職プロセスに沿って、退職に関するオリエンテーションや経費精算、PCの引き渡しやアクセス権限管理、リスク・コンプライアンスに関するガイダンスといったタスクを着実に実行すべきです。
なお、この退職プロセスは一つだけとは限らず、退職時の役割や勤務地、「出戻り転職」を許すかどうかや転職先が競合かどうかといった条件に応じて、複数用意しておくことが望ましいでしょう。
そして、この退職プロセスを一貫した形で実行するため、ID管理基盤や自動化といったテクノロジの力を組み合わせることも有効です。
例えば退職の申請が上がったら、ネットワークのアクセス権限を剥奪し、最終的にはアカウントを抹消していくといったプロセスを自動的に進めることで、ミスによって退職者が外部からシステムにアクセス可能な状態になっていた——こうした事態を避けることができます。
また、機密情報を保護する情報漏洩対策ソリューションを活用して当該退職者の振る舞いを可視化し、出来心などで持ち出しを図ろうとした際にはリアルタイムに注意喚起を行い、水際で食い止めることも可能です。このように、ルールやプロセスに加え、テクノロジを適切に組み合わせることもポイントと言えるでしょう。
不正のトライアングル、「動機」以外の二要素を削ることで抑止を
改めて、日本で発生した内部不正、内部脅威による情報漏洩事件の傾向を確認してみましょう。
プルーフポイントがまとめたところ、国内で一番多いのは、ここまでも繰り返し登場した「退職に伴う情報漏洩」です。次は、権限が集中している「システム管理者による情報漏洩」や「委託先からの情報漏洩」で、現に数十万件、数百万件といった個人情報が外部に持ち出される事件が発生しています。さらに、上司とのトラブルなど職場環境に起因する不正行為や、ルール不徹底に起因する不正行為も無視できない数に上っています。
ここでもう一つ留意したいのが、「なりすましアカウントによる情報窃取」です。外部の攻撃者が正規のアカウントを盗み出し、それを用いて内部の人間に成り済ました上で情報漏洩を働くパターンです。
多くの企業では、ファイアウォールやアンチウイルス、EDRといったソリューションを導入して外部からの不正侵入に備えています。これらは、MITERのATT&CKフレームワークでいう「認証情報へのアクセス」が起こる前の段階に備えた対策です。しかし、他のところで流出した情報を悪用したり、脆弱性を悪用したりしてアカウント情報を入手され、なりすましに悪用されてしまった場合、こうした振る舞いを検知、ブロックする手段はあまり存在しません。
このように考えると、たとえ認証を経た正規のユーザーであっても、ゼロトラストセキュリティの考え方に基づいて、疑わしい挙動をしていないかどうかを見ていく仕組みが必要です。
なりすましも含めた内部脅威による情報漏洩は、非常に多くの損失をもたらします。IBM Security Ponemon Instituteのレポートによると、内部脅威によって発生したインシデントの平均コストは64万6000ドル、日本円にして9000万円を超えました。かつ、企業の60%では一年間に30件以上の内部脅威インシデントが発生しているため、これを掛け合わせると一組織あたりの年間総コストは約22億円に上る計算です。
「内部不正のトライアングル」に注目
これだけの損失が引き起こされることを念頭に置き、いかに内部脅威を抑えるか、真剣に検討しなければならない時期に来ています。
その際に参考にしたいのが、アメリカの犯罪学者、ドナルド・クレッシーが提唱した「内部不正のトライアングル」です。この理論によると、内部不正は動機と機会、正当化という3つの条件がそろった時に行われます。
ただ、このうち「動機」をつぶすのは現実的には困難です。金銭、名誉欲や承認欲求、あるいは自身の信念など動機は一人一人異なり、対策しづらいからです。となると、残る機会、もしくは正当化の理由のどちらかを排除することが、内部不正対策に有効と言えます。
例えばリアルタイムな監視の仕組みを整え、内部不正を働いたときに捕まるリスクを高め、機会を潰すことで犯行を抑止するのは、有効なアプローチの一つと言えるでしょう。また、コンプライアンス教育を定期的に実施し、ルールの周知を徹底することによって、内部犯行を正当化する理由を排除することも重要です。
こうした内部不正に特化したソリューションを導入することで、リモートワークをしていたり、退職が近かったりで、機会や正当化の理由が増えがちな従業員の振る舞いを可視化し、リアルタイムに牽制することができます。それがひいては、情報漏洩の抑止につながります。
もちろん、手元のスマートフォンで書類を撮影して持ち出すことや、自分の頭に記憶するといった手法になると、こうしたソリューションで止めるのは不可能です。それを防ぐには、なぜ持ち出してはいけないのか、仮に持ち出した場合にはどのような損害賠償請求を受ける恐れがあるのかといった事柄を伝えるコンプライアンス教育の徹底しかありません。
また、先に触れたように、入社時・退職時だけでなく毎年機密保持契約を結ぶことや、細かく注意喚起を出すことも抑止につながるでしょう。
大多数の善良な従業員を守るためにも、内部脅威対策への取り組みを
内部不正の話ばかりしていると、「そんなに従業員のことが信じられないのか」と感じる人もいるかもしれません。もちろんその通りで、おそらく従業員の99.99%は不正など考えもつかない善良な人々です。そのほぼ大多数の善良な従業員を守るためにも、0.01%の従業員に抑止をかけることが重要なのです。
折しもニューノーマル時代、世界は大きく変化し、クラウドシフトやテレワークが浸透しました。それらを狙うサイバー攻撃は洗練化され、背景に国家の思惑の潜む経済安全保障問題も浮上しています。そして、前述の通り大量退職の時代が到来しています。
こうした変化を踏まえ、多くの企業ではゼロトラストに基づくセキュリティ対策の見直しを図り、サプライチェーンリスクにも対策するなど、さまざまな対策を講じ始めています。ここで盲点になりがちなのが内部脅威対策です。繰り返し示してきた通り、内部からの情報漏洩は無視できない割合を占め、かつもたらすインパクトが大きいにもかかわらず、セキュリティ投資の多くは外部からの侵害に備えるものに費やされ、内部脅威対策の比率は少ないままです。
性善説を信じたい気持ちも大切ですが、もはやそれが通用しない時代が到来しています。外部攻撃によるリスクよりもずっと大きな内部脅威のリスクにしっかりと目を向け、個人の信頼性の確認や、後追いのアラートではないリアルタイムな抑止といった対策をとっていくべき時期に来ていると言えるでしょう。
増田 幸美 そうた ゆきみ 日本プルーフポイント株式会社 チーフ エバンジェリスト。 早稲田大学卒業。日本オラクルでシステム構築を経験後、ファイア・アイで脅威インテリジェンスに従事。サイバーリーズン・ジャパンではエバンジェリストとして活動、千葉県警サイバーセキュリティ対策テクニカルアドバイザーを務める。現職ではサイバーセキュリティの啓蒙活動に携わり、InteropやSecurityDays、警察主催などカンファレンスなどで講演多数。世界情勢から見た日本のサイバーセキュリティの現状を分かりやすく伝えること使命としている。警察大学校講師。Cybersecurity of Woman Japan 2023受賞。 この著者の記事一覧はこちら
関連記事(外部サイト)
