経営者が知っておくべき内部不正対策

内部不正リスクの高まり

コロナ禍における新しい働き方として、多くの企業でテレワークが推進される中、今まで以上に内部不正のリスクが高まってきています。

独立機関Ponemon Instituteの、北米（アメリカおよびカナダ）、欧州、中東、アフリカ、アジア太平洋で、204 の組織の964 名のIT およびIT セキュリティ担当者にインタビューをおこなった、2020年版内部脅威による損失に関するグローバルレポート（原題： 2020 Cost of Insider Threats Global Report） の調査によると、内部不正の頻度もコストもともに、この2 年間で急増しています。例えば内部脅威の全体コストは、2018 年の876 万ドルから2020 年には1,145 万ドルへと、31% 増加しまし、さらにインシデントの数も増加して、2018 年の3,200 件から2020 年には4,716 件へと、わずか2 年間の間で47% も増加しているという結果があるのです。

内部不正には、内部社員または請負社員の悪意のない不正（過失）、内部社員の悪意のある不正（犯罪）、外部からのフィッシングなどにより認証情報を窃取されたなりすまし、と言った、3つのパターンがあり、内部不正の60%以上は、内部社員または請負社員の悪意のない不正（過失）によるものということをご存じでしょうか。

データによると、内部脅威は静かに継続しており、外部脅威に比べて十分なサイバーセキュリティ対策がなされていないことがわかります。外部からの攻撃よりも1件あたりの被害が甚大であるケースも多く、内部不正によるセキュリティ事故が原因で社会的信頼を失ってしまう事例は今後ますます増えてくると予想されます。

日本国内における内部不正の脅威

一方日本国内では、IPAが毎年公開している「情報セキュリティ10大脅威」において内部不正による情報漏洩が10年以上に渡りトップ10入りしていて、2020年は2位までに上り詰めています。

日本に限った話ではありませんが、新型コロナウイルスの影響により日本企業に大きな環境変化が出てきています。
従来、オフィスに出社しオンプレミスのサーバにアクセスすると言った、セキュリティで守られた境界内で仕事をするスタイルから、自宅で会社支給のPCやBYODといった端末を利用してクラウドにアクセスしるのがニューノーマルな働き方となっている今、上司部下、あるいは同僚による相互監視が難しくなることで、誤って会社の機密情報をSNSで漏洩してしまうといったケースも出てきています。

また、終身雇用から転職が当たり前となり、転職時に伴う機密情報の持ち出しや、不況による企業の淘汰、M&Aの加速、さらなるグローバル化によって、ガバナンス不足によるルール違反が起こるかもしれません。

最近ではSDGｓ、ESG経営の取り組みを耳にするようになってきましたが、新型コロナのパンデミック（世界的大流行）で各国の社会や経済は大きな打撃を受け、持続可能な開発の重要性が再認識され、今後はESG（環境・社会・ガバナンス）の取り組みを基盤とする長期視点の経営がより重視されることは違いないでしょう。持続的な事業を支えるのは言うまでもなく「人材」であり、社員を守ることが仕事に対するモチベーションを高め、持続的成長につながる事となります。

内部不正の検出は困難

人が何故不正を犯すのか？不正のトライアングル論をもとに考察すると不正行為は「動機」、「機会」、「正当化」の３つの要素 が揃ったときに発生すると考えられています。内部不正で多く見られる情報漏洩において、例えば、新型コロナウイルスによる業績不振で自身の処遇に不満を抱き「動機」、リモートワークで周囲の目が届かない環境にあり「機会」、ルールが徹底されていないために不正行為では無いと都合の良いこじつけ「正当化」をして、外部に情報漏洩して金品を得る、と言った流れです。この3要素を社員教育や、ITシステムを使って企業は防ぐ必要があるわけです。
業務上、クラウドサービスや電子メール等、従業員が自分の仕事をする為に必要なリソースに対してアクセスを許可する必要があります。その為、一部の従業員は給与情報、特許情報などの機密情報にアクセスする権限を保持していることとなります。内部不正はこれらの業務上必要な権限を利用して、正しい認証情報・機器を使用するため見つけることが非常に困難であり、多くのセキュリティ製品ではこれらの動作は正常と認識され、検知することは困難です。更に、不正者が自身の認証情報や機器だけでなく、より高い権限を不正に利用したり、機器を変更しながら横展開をする場合は、これらの脅威はより複雑になり、検出が困難となります。

DLP(Data Loss Prevention)等の既存製品にて、外部への情報持ち出し等のポリシーに違反する挙動を検出する製品を利用していても、非常に多くのアラートが発せられ、何が本当の脅威なのかの判断が難しく、大量のアラートの調査に頭を悩ましている組織も少なくないのではないでしょうか。

「ログの活用」だけでは不十分

この様な、現状の中、内部不正の対策として代表的なものに「ログの活用」が挙げられます。
従来は「事後追跡」「原因究明」の際に保管されてることが多かったログですが、ログにはあらゆる行動の証跡が残されており、これらを有効的に活用することで内部からの情報漏洩に繋がる「予兆」がないかを早期検知することが重要となります。

そこで大量のログを相関的に分析し、組織内で静的なルールを設けて、特定の条件にヒットした際に検知を上げるような「ルールベース」での脅威の検出が有効とされていました。しかしながら、働き方が多様化している現代では、従業員それぞれがすべて同じ条件下で勤務していることは珍しく、「何が異常な行動なのか」は一人ひとり異なります。その為、組織で統一されたルールでは、その設定によっては脅威が検出できなかったり、過検知によって真の脅威が埋もれてしまったりする懸念もあり、このルールベースのアプローチは昨今における内部不正対策としては適切であるとは言えないのが現状です。

ITツールの選定時には、導入が容易（ルールのプリセットが用意されていたり、機械学習により通常とは異なる異常を検出できる）で、運用が容易（使いやすいUI、ユーザのスコアリング機能、録画機能）で、ユーザにリアルタイムに違反を通知（不正操作時にポップアップ通知）できる製品を選択することが重要です。

しかし、正規のアクセス権限をもった社員の不正行為は、技術的な対策だけでは十分とは言えません。
経営者のトップダウンによる組織横断の取り組みが必要となってきます。職場環境の改善、社員教育の実施、管理体制の強化、ルールの明確化、ITシステムの導入といった、「人」、「組織」、「技術」の面から対策を施し、内部不正が起きにくい職場環境を作る事で、「不正のトライアングル」の3要素を未然に防ぐことが最重要と言えるでしょう。

■内部不正に関する様々なコンテンツ

セミナー資料

「人」にフォーカスした内部不正対策～企業としてこれから必要となる対策とは～

新型コロナウイルスにおける「緊急事態宣言」の終了後も多くの企業でテレワークと在宅勤務による新しい働き方が続く中、今まで以上に内部不正のリスクが高まってきています。外部からの攻撃よりも1 件あたりの被害が甚大であるケースが多く、企業やその他の組織において内部不正によるセキュリティ事故が原因で社会的信頼を失ってしまう可能性もあります。

そのため、内部不正対策は組織における脅威の一つと位置づけ、経営課題として真摯に取り組む必要があると考えます。

下記は国内外の内部不正の事例を確認するとともに、その対策について解説したセミナーの資料となっています。