内部不正&ガバナンス
2020.10.20
内部不正対策として必要な教育の観点
内部不正とは
2020年7月にサイバー被害通知の義務化が発表され、内部不正によるインシデントも1件から通知義務が必要となったことで、どのような内部不正対策が必要か改めて考える機会も増えてきました。働き方も変わっている昨今、みなさまは内部不正対策と聞いてどのような内容を思い浮かべるでしょうか。
よく耳にする内容としては以下の内容があげられます。
・転職する社員による社外秘情報の外部持ち出し
・委託先業者からの情報漏洩
・システム管理者による不正行為
・なりすましアカウントによる情報窃取
これらは内部不正対策を考えるにあたり重要な検討事項ではありますが、実は内部不正全体の40%未満であり、驚くことに63%もの内部不正は【悪意のない不正】で発生してしまいます。
よく耳にする内容としては以下の内容があげられます。
・転職する社員による社外秘情報の外部持ち出し
・委託先業者からの情報漏洩
・システム管理者による不正行為
・なりすましアカウントによる情報窃取
これらは内部不正対策を考えるにあたり重要な検討事項ではありますが、実は内部不正全体の40%未満であり、驚くことに63%もの内部不正は【悪意のない不正】で発生してしまいます。
リモートワーク下の社員教育
この様な悪意のない不正やうっかりミスを防ぐために多くの会社では社員教育が行われてきましたが、昨今の情勢によりリモートワーク主体の業務方式に切り替わっていくことで社員教育の在り方も従来通り行うことが難しく、変化が求められるようになってきました。
具体的な例としては、全員が出社しないため会社の雰囲気が伝わりにくい。自宅で仕事をするため周りに上司や同僚の目が無く気持ちが緩んで確認に漏れが発生してしまう。今までと同様のやり方で業務ができないため仕方なくルールを破ってしまう。といった事例があり、社員教育のやり方も働き方の変化に合わせて実施する必要が出てきました。
それでは、リモートワークに合わせた社員教育とはどのようなものになるのでしょうか。一番確実な方法としては、ルール違反を行った場合にその行為を完全にブロックすることになります。SNSのアクセス禁止や外部Webメールのログイン禁止等、細やかにルールを指定してしまえば社員が行った行動をブロックすることが可能になります。
しかし、業務内容によっては広報のためにSNSにログインしたり、検証でWebメールを使用する場合もあり、働き方の変更に合わせた禁止ルールを細かく指定していくことは膨大な予算と時間が必要になってくるため現実的ではありません。
そこで求められる内容としては、全てを導入前に定義し完全に禁止するわけではなく、リアルタイムでの警告を行いつつ利用状況を可視化した上で必要なルールを検討し本当に問題がある行動については禁止します。更に運用を行っていく中で可視化→検討→ルール変更→可視化と繰り返すことで自社に合ったルールの精度を高めていく必要があります。
具体的な例としては、全員が出社しないため会社の雰囲気が伝わりにくい。自宅で仕事をするため周りに上司や同僚の目が無く気持ちが緩んで確認に漏れが発生してしまう。今までと同様のやり方で業務ができないため仕方なくルールを破ってしまう。といった事例があり、社員教育のやり方も働き方の変化に合わせて実施する必要が出てきました。
それでは、リモートワークに合わせた社員教育とはどのようなものになるのでしょうか。一番確実な方法としては、ルール違反を行った場合にその行為を完全にブロックすることになります。SNSのアクセス禁止や外部Webメールのログイン禁止等、細やかにルールを指定してしまえば社員が行った行動をブロックすることが可能になります。
しかし、業務内容によっては広報のためにSNSにログインしたり、検証でWebメールを使用する場合もあり、働き方の変更に合わせた禁止ルールを細かく指定していくことは膨大な予算と時間が必要になってくるため現実的ではありません。
そこで求められる内容としては、全てを導入前に定義し完全に禁止するわけではなく、リアルタイムでの警告を行いつつ利用状況を可視化した上で必要なルールを検討し本当に問題がある行動については禁止します。更に運用を行っていく中で可視化→検討→ルール変更→可視化と繰り返すことで自社に合ったルールの精度を高めていく必要があります。
ObserveITで対策できること
ここまで昨今の働き方の変化に伴った求められる内部不正対策について述べてきましたが、具体的な対策としてどのようなことが可能かという点について触れておりませんでしたので、この需要に対応可能な製品であるObserveITを具体例も含めて一例としてご紹介させて頂きます。
ObserveITを使用することでユーザーの操作を起因として画面のスクリーンショットを取得し、設定したアラートに該当する行為を行った場合はリアルタイムに警告/禁止を通知することで、社員教育を行うことが可能となります。
ObserveITを使用することでユーザーの操作を起因として画面のスクリーンショットを取得し、設定したアラートに該当する行為を行った場合はリアルタイムに警告/禁止を通知することで、社員教育を行うことが可能となります。
それではこのObserveITを利用するとでどのような内部不正対策を行うことができるのでしょうか。
先に述べた4つの観点(【容易な構築】【容易な運用】【ルールの選定】【抑止/教育】)での具体例をご紹介いたします。
【容易な構築】
働き方の変化により導入時に禁止ルールを定義しきることは難しいため、明確に決まっている内容以外は禁止をせずにデフォルト設定のままで証跡の取得、危険度の高いユーザーのスコアリング、良く使用されているアプリケーションの可視化が可能となります。この手法のメリットとして、変化の速さに合わせた導入速度が提供可能となります。
【容易な運用】
デフォルトで約400種類のアラートルールが定義されており、その定義に則ったスコアリングでリスクが高いユーザーを洗い出すことが可能となり、さらに特別な設定を行わなくてもユーザーのアプリケーション使用状況の統計を全体/グループ/個人それぞれで確認することができます。また、ファイル単位での追跡機能等も用意されており、問題発生した際に追跡しやすい特徴がございます。
【ルールの選定】
ホワイトリスト/ブラックリストや完全一致/部分一致を複数組み合わせたルール指定がGUI上から可能なため直感で操作可能なUIとなっております。アプリケーションはOSが認識している名称で指定することができる他、URLの文字列指定や特権IDへの昇格、ログインしているユーザーや時間帯等も指定した上で通知なし/警告/アプリケーション終了/強制ログオフ等、用途に応じた対処を行うことが可能となります。
【抑止/教育】
ユーザーへの通知を行うにあたり、ログイン時に特定のメッセージの表示、警告文の中に社内規定等のリンクを表示、フィードバックコメント入力の強制、社内申請ページへのリンクを案内等をルール毎に定義することが可能なため、管理者にアラート通知が行われてしまったことを自覚して頂きリアルタイムで何に違反してしまったのかを確認をすることで社員1人ひとりの教育を行うことが可能となります。
ここまで御覧頂きありがとうございました。今回は働き方の変化に伴い求められる内部不正対策について記載させて頂きましたが如何でしたでしょうか。
性悪説で禁止するだけでなく、性善説でも発生する意図しない内部不正から社員を守るために必要な抑止/教育という観点が今後求められることになりますので、もし少しでもご興味を持って頂けましたら状況に沿ったご提案をさせて頂きますのでお気軽にお問合せ下さい。
内部不正に関する関連記事もご覧ください!
