マクニカ
内部不正&ガバナンス 2023.10.03

内部不正対策を成功させている企業の運用方法とは?-ChatGPTにも説明させてみた-

目次

  1. はじめに
  2. なぜ、「内部不正対策を成功させる=自社運用」なのか?
  3. ChatGPTにも説明させてみた
  4. 内部不正対策を自社運用で建てつける4つのポイント
  5. 内部不正対策の運用に有効なUEBA製品=Exabeamについて
  6. まとめ

1.はじめに

現代のビジネス環境は、急速なテクノロジーの進化とデジタル化が進行する中で、内部不正に対する脅威が増大しています。企業は組織文化を構築し、ビジネスゴールを具体化し、社会への貢献を実現するために、内部不正対策を実施していく必要性が高まっています。その際に、自社でのノウハウが無いことや、複数部署にまたがった内部不正対策を進めるようなリソースの確保が難しいことから、アウトソースも選択肢に入れる場合があります。

しかしながら、内部不正対策に成功している企業は「自社運用」を建てつけています。本記事では「なぜ自社で建てつけ、運用することで成功するのか?」その理由を案内します。

2.なぜ、「内部不正対策を成功させる=自社運用」なのか?

企業は適切な手段を通じて達成されるべく望んでいる状態(=ビジネスゴール)を定義して活動しています。内部不正対策の推進はそういったビジネスゴールを達成するための手段の1つとなり、経営課題としても受け取れます。

また、IPA(情報処理推進機構)の『組織における内部不正防止ガイドライン』によると、経営者観点では以下の様に記述があります。

仮に重要情報が漏えいした場合、技術情報であれば逸失利益、個人情報であれば莫大な賠償金が企業において発生するとともに、経営者としては情報管理の不備や企業の価値・競争力の毀損に対する責任を問われる可能性があることから、内部不正による重要情報に関する事故に起因する事業リスクに適切に対処することが求められています。

『組織における内部不正防止ガイドライン』
https://www.ipa.go.jp/security/guide/hjuojm00000055l0-att/ps6vr7000000jvcb.pdf

経営者をはじめとして、企業自身が主導する形で、内部不正対策の体制と仕組みを構築し、運用させることで内部不正防止に対する意識や取り組みを組織内に徹底させることが可能となります。また、一時的に対策を講じたから大丈夫といったものではなく、対策改善を常に持続させていく必要があります。

では、アウトソースへ内部不正対策を委託した場合はどうでしょうか?

知見や人的リソースという観点でメリットは出しやすくなりますが、委託先ベンダーが上記の様な意識や企業文化まで理解した対策を推進できるのか、自社に適応した対策内容へと持続的に改善できるのか、実際に不正が発覚した際の報告までのタイムラグは無いか、報告をエスカレーションする際の説明内容が十分かなど、懸念事項が多く挙げられます。

従いまして内部不正対策を成功させるためには、自社での運用を建てつけるという点が非常に重要になってくると我々マクニカは考えています。

3.ChatGPTにも説明させてみた

さて、前章では内部不正対策を自社運用で建てつけると成功する理由をマクニカ観点からお話しましたが、昨今話題のChatGPT(インターネット上に存在している情報を基に学習している対話型AI)はどう考えているのでしょうか。まずはChatGPTの回答全文を紹介します。

内部不正対策を自社で運用する理由に焦点を当て、その重要性をビジョンの具体化とパーパスの体現という観点から解説します。内部不正対策の自社運用がなぜ成功につながるのか、その秘密に迫りましょう。

  1. ビジョンの具体化

企業のビジョンは、その存在理由や長期的な目標を明確に示すものです。しかし、ビジョンが抽象的なままであれば、実現が難しいものとなります。内部不正対策を自社で運用することは、ビジョンを具体化する一環として理解できます。

例えば、企業のビジョンが「お客様に信頼される企業であること」であれば、内部不正対策はその信頼を築くための手段として位置づけられます。自社運用により、セキュリティと誠実さが組織文化の一部となり、ビジョンの達成に寄与します。ビジョンは企業の方向性を示し、自社での内部不正対策はその方向性を具体的なアクションに翻訳する重要なステップとなります。

  1. パーパスの体現

 企業のパーパスは、社会への価値提供や使命を示すものです。パーパスはビジョンを実現する手段の一つであり、内部不正対策はその一環として理解できます。内部不正は企業にとって信頼喪失や損失の原因となりますが、自社運用によってパーパスを体現し、顧客やステークホルダーへの責任を果たすことができます。

 例えば、パーパスが「顧客データの保護とプライバシーの確保」であれば、内部不正対策はそのパーパスを実現するための具体的な措置と位置づけられます。自社での運用により、企業はパーパスを行動に移し、社会への価値を提供する一環として内部不正対策を活用できるのです。パーパスは企業の存在意義を表し、内部不正対策はその存在意義を実現する手段として役立ちます。

  1. 組織文化の構築

 内部不正対策の自社運用は、組織文化を形成する重要な要素としても機能します。組織文化は企業の行動規範や価値観を反映し、従業員に影響を与えます。自社運用により、セキュリティ意識が高まり、誠実さが奨励される組織文化を構築できます。

 内部不正対策は、従業員に対する責任感を高め、共通の目標に向かって協力する文化を醸成する手助けをします。組織文化が内部不正対策を支持し、従業員がその文化に参加することで、内部不正のリスクが最小化されます。組織文化にセキュリティと誠実さが組み込まれることで、従業員は行動の選択においてより慎重かつ倫理的な判断を下すよう奨励されます。

組織文化の構築において、内部不正対策は重要な役割を果たします。自社での運用により、組織全体がセキュリティと誠実さを尊重し、ビジョンやパーパスに共感する文化を育むことができます。これにより、内部不正対策は単なるプロセスや技術だけでなく、組織の核となる重要な要素として位置づけられます。 

  1. 持続可能な成功への道

内部不正は企業にとって大きな損失をもたらす可能性があります。しかし、自社での対策を運用することで、資産と信頼を保護し、ビジネスの成功に向けたリスクを最小限に抑えることができます。内部不正対策は、組織の持続可能な成功への道を開く鍵となります。

安全な環境を提供することで、取引先や顧客からの信頼を築き、持続可能な成長を支えます。組織はビジョンとパーパスに向かって前進し、社会への貢献を継続的に実現できます。内部不正対策は、組織の成功において不可欠な要素であり、持続可能なビジネスモデルの構築に貢献します。

  1. 結論

内部不正対策を自社で運用することは、ビジョンとパーパスを具現化し、組織文化に浸透させ、持続可能な成功に向けた一環です。ビジョンとパーパスは企業の成功に不可欠な要素であり、内部不正対策はそれらを実現するための有力な手段となります。内部不正対策の自社運用を通じて、ビジョンとパーパスを体現し、持続可能な成功への道を切り開きましょう。企業の信頼性と社会への貢献に向けて、内部不正対策は重要な役割を果たします。そのため、内部不正対策の自社運用は組織にとって不可欠なステップであり、今後ますます重要性を増すでしょう。

上記の内容からChatGPTも我々マクニカと同様に「自社運用の重要性」について述べていることが分かります。

  • 企業にはビジネスゴールがあり、ゴールを実現するのは企業で働く人
  • 内部不正対策はゴールの実現へ貢献する手段であり、実現へ向けて企業文化、人を養成する必要がある
  • 持続的な成長を目指すうえで、自社の文化を理解した運用を建てつけることが不可欠

4.内部不正対策を自社運用で建てつける4つのポイント

23章で自社運用を建てつけることの重要性はご理解いただけたかと思います。

この章では、実際に内部不正対策を自社運用にて建てつける際の製品・サービス選定に必要な以下4つのポイントをご紹介します。

①セキュリティの効果性

 検知機能/アルゴリズムが、継続的な脅威に対して効果的なものかどうかを確認します。

②適応性とカスタマイズ性

 組織の特定のニーズに合わせたカスタマイズが可能かどうかを確認します。内部不正対策は企業・業界ごとに異なる要件を持つため、柔軟性が求められます。機械学習にしても、企業に特化された学習モデルを作成できることが望ましいです。

③継続的にモニタリングが可能かどうか

 内部不正対策は継続的なモニタリングが不可欠です。企業のシステム利用などに関する実情を可視化・分析できるかどうかを確認します。

④運用のしやすさ、専門性(属人性)が排除できるかどうか

 脅威検出ロジックの分かりやすさ、調査のしやすさ、対処までの運用が効率的に行えるかどうかを確認します。また、専門的な知識を有していなくても調査を行えることが望ましいです。

5.内部不正対策の運用に有効なUEBA製品=Exabeamについて

内部不正対策を自社運用する上で有効的な製品であるExabeamを、各項目と照らし合わせながら紹介します。

Exabeamとは.pngUEBA(User and Entity Behavior Analytics)とは、ユーザーの普段時のふるまいを可視化、異常なふるまいをスコアリングし、サイバー攻撃や内部不正などを検知するツールです。

 ①セキュリティの効果性

 従来型のSIEMなどを利用する場合、ユーザー毎にルールを作ってメンテナンスをすることは困難であり、課題でした。Exabeamでは機械学習により、静的検知ルールのみならず、ユーザー毎に異常と判断する閾値が変化する動的検知を可能とし、ユーザーの行動軸で未知の脅威を検知することが可能です。ueba2.png

②適応性とカスタマイズ性

 機械学習の対象は組織単位/部署単位/ユーザー単位と3種類あり、それぞれに対して異常と判断する閾値が変化します。また、どのような内容を学習し、脅威として検知とするかといった部分からカスタムなルール・モデルを作成することも可能です。これによって、企業の特定の要件や状況に応じた柔軟な内部不正対策を可能とします。

rule3.png

③継続的にモニタリングが可能かどうか

 Exabeamでは特定の条件の(異常)行動をしているユーザーの可視化、組織単位/部署単位/ユーザー単位における各モデルの学習状況の可視化、各ルールの検知状況などの統計情報の可視化が可能であり、リアルタイムで確認することができます。また、内部不正対策の中で一番企業において関心が高くなる「情報流出」の契機として最も多いのが転職のタイミングです。ウォッチリスト機能では、例えば退職予定者や中途採用者などのリストを監視対象としてスコアリングの遷移をモニタリングすることができます。

watchList4.png

④運用のしやすさ、専門性(属人性)が排除できるかどうか

 様々なシステムのログから正しく状況を把握する為には高度なスキルや多くの時間が必要となります。Exabeamでは取り込んだデータを基に、自動でタイムラインを生成するこができ、検知理由や前後の行動が分かりやすいことから、高度なスキル無で迅速に状況把握/調査をすることが可能です。Timeline5.png

Rogic6.png

上記より、Exabeamは企業様が内部不正対策を成功するための有効な手段となり得ます。

6.まとめ

内部不正対策は、各企業のビジネスゴールを実現するための手段として実施されるものであり、その運用は自社で内製化することで企業特有の要件に柔軟にカスタマイズしたり、現状の可視化ができたり、内部不正対策の高度化が期待できることから成功に繋がります。

内製化にあたっては検知性能、適応性・カスタマイズ性、モニタリング性、運用の効率性・容易性などが満たされた製品を選定することが重要となります。

▼関連動画
内部不正動画5分.png

▼関連資料

内部不正とは何なのか整理した上で、マクニカが考える内部不正対策についてご紹介します。

資料請求のお申込みはこちら.png

▼ご質問・ご要望等ございましたら、下記よりお問い合わせください

お問い合わせはこちら.png

メルマガ登録バナー(セキュリティ).jpg

RSSで購読する
ランキング
カテゴリ
タグ
月別アーカイブ