ヘルスケアデータ二次利用による企業価値向上を支える「デジタルコンプライアンス」の在り方(小野薬品)
小野薬品でデータ戦略を担当している山下 信哉氏をお迎えし、各部門を巻き込んだヘルスケアデータの二次利用におけるデジタルコンプライアンス体制の構築や、法規制、さらに視野を広げたELSI(Ethical, Legal, and Social Implications)リスクへの対応についてお話を伺いました。
ソフトバンクが実践する内部不正によるサイバー犯罪対応(ソフトバンクCISO 飯田氏)
2022-05-11
日本を牽引する企業・組織のセキュリティ責任者をお招きし、サイバーセキュリティとプライバシーをめぐる最新の取り組みを伺った「Digital Trust Forum 2022」。本シリーズでは各セッションをダイジェストで紹介します。
近年はリモートワークの導入により、場所にとらわれない働き方が広く浸透してきました。いつでも、どこからでも、どのデバイスからでも業務システムにアクセスできる環境は、働き方の多様化に大きく貢献しました。しかし、同時に懸念されるのが、システムの不正利用や情報流出のリスクです。特に最近では内部者によるセキュリティ脅威が増加しているといいます。その背景には何があるのでしょうか。本セッションでは、ソフトバンク株式会社で執行役員 兼 CISO テクノロジーユニット サイバーセキュリティ本部 本部長を務める飯田唯史氏を迎え、内部不正によるサイバー犯罪の動向や背景を伺うとともに、ソフトバンクが実践する内部不正に対する取り組みを解説していただきました(本文敬称略)。
対談者
ソフトバンク株式会社
執行役員 兼 CISO テクノロジーユニット サイバーセキュリティ本部 本部長
飯田 唯史 氏
PwCコンサルティング合同会社
パートナー
林 和洋
(左から)林、飯田氏
なぜ内部不正は増加しているのか―内部不正を誘発する環境の考察
林:
最初に経済犯罪に関する調査を紹介させてください。PwCが2020年7月に公開した「経済犯罪実態調査2020」によると、過去2年間で経済犯罪や不正被害にあった日本企業の割合は21%に上ります。その中で組織内部者が関与していた犯罪・不正は全体の53%を占めています。ソフトバンクが実施した社内におけるインシデント発生分析では、99%が内部脅威によるものだと伺っています。
飯田:
はい。その中にはクラウドの設定不備や第三者が閲覧可能な場所にパスワードを格納してしまったという「うっかりミス」も含まれていますが、近年は内部者によるセキュリティ脅威が増加しています。もっとも、インシデントは発生しているものの、ほとんどは水際で食い止められています。
林:
内部不正が増加している背景には何があるのでしょうか。
飯田:
3つの要因が挙げられます。
1つ目はコロナ禍におけるテレワークの拡大です。「自宅作業で誰にも見られていない」という環境が、不正を誘引させる要素になっています。
2つ目はSaaS(Software as a Service)など、クラウドサービスの普及です。これまではオンプレミスの閉じたシステムでデータを扱っていましたが、それがインターネットを介して利用するクラウドへと移行しました。SaaSはインターネットに接続できる環境さえあればどこでも利用できる便利なサービスですが、セキュリティの観点からは課題もあります。特に、企業の情報管理部門やセキュリティ担当者に無断でサービスを利用する「シャドーIT」の存在は、情報漏えいのリスクを高めています。
3つ目は「スマートフォンによる業務の効率化」です。スマートフォンを含めた通信サービスを提供しているキャリアとしては申し上げにくいのですが、スマートフォンで何でもできるようになったことで、公私混同した使い方が急増しました。
林:
労働環境が大きく変化した状況で業務を効率化するツールがあれば、安易に使ってしまう人は多そうです。では、社員や組織から見て、内部不正を誘発する環境とはどのような状態が考えられますか。
飯田:
1つ目は「退職時におけるモラルハザード」です。退職する際に、会社から情報を持ち出すことが悪いことだと認識していない人は一定数見受けられます。
2つ目は「会社情報資産に対する誤解」です。例えば、業務時間中に作成したプレゼンテーション資料の著作権は、自分に帰属すると考えている人がいます。「私が作成したのだから私のモノだ」と勘違いしてしまうのですね。会社業務の一環として作成した資料は、全て会社に帰属するという意識が低いのです。
3つ目は「会社OA環境における隙間」です。内部不正をしようとした人に「なぜやったのか」と問い詰めると、「すみません、できるからやっちゃいました」と言うのです。私の立場からすると信じがたいのですが、「外部に情報を持ち出すテクニカルな手段を、たまたま見つけたからやってしまった」というのが彼らの言い分です。
内部不正をしようとした人に概ね共通するのは、その理由を淡々と述べることです。そこから見て取れるのは「自分がやろうとしたことは悪いことであり、企業に深刻なダメージを与える」という自覚がないのです。もちろん、このような内部不正は、未遂で終わるケースがほとんどです。
ソフトバンク株式会社 執行役員 兼 CISO テクノロジーユニット サイバーセキュリティ本部 本部長 飯田 唯史氏
PwCコンサルティング合同会社 パートナー 林 和洋
内部不正防止対策の3つの取り組みとは
林:
そうした内部不正脅威に対し、ソフトバンクではどのような対策を講じているのでしょうか。
飯田:
これも大きく分けて3つあります。
1つ目はシステム側の操作ログから行動を分析することです。サーバや社内OAシステムのログを解析し、通常とは異なる振る舞いをしている社員(ID)を監視します。
例えば、深夜の業務時間外に大容量データをダウンロードして社外に送信したログなどを自動フィルタであぶり出し、全て調査するといったことを実施しています。もちろん、社員という“仲間”ですから、「切羽詰まった業務が深夜まで及んでしまったのでは……」という前提で調査をします。しかし、普段は大容量データを扱わない社員が30MBのデータを外部に送信したような場合は、不正な持ち出しである可能性が高いのです。
2つ目は、画面ショット(スクリーンショット)を撮ることです。誤解のないように申し上げますが、日常的に全社員の画面ショットをすべて撮って監視しているのではありません。操作ログの行動分析と同様に、通常とは異なる怪しい行動が見受けられた場合、事実関係を明らかにする手段として実施しています。
3つ目は、AI(人工知能)を活用した非構造化データの解析です。具体的にはメールの中身をAIで解析し、不正の予兆を検知する取り組みを試験的に実施しています。もちろん、こちらも怪しい行動が見受けられた時にのみ実施します。幸いにして怪しいと疑った行動の99%以上は偽陽性です。
林:
内部不正対策にAIを活用されているのはさすがですね。内部不正は権限が与えられた人間による犯行ですから、防御するのが難しいですよね。お話を伺って「疑わしい種を早期発見して摘み取る」ことはもちろん、「不正は必ずばれる」という意識を社内に浸透させることが重要だと実感しました。
また、ソフトバンクではセキュリティに関する啓発活動や訓練も積極的に取り組んでいると伺っています。詳しく教えていただけますか。
飯田:
はい。ソフトバンクではセキュリティの教育コンテンツを自社で作成しています。例えば、過去に発生したインシデントシナリオを紹介し、「こうした不正をしたら、このような結果を招く」ということを具体的に説明して「情報の持ち出しは“悪”なんだ」と、繰り返し啓発しています。また、eラーニングを中心とした教育も実施しています。
さらに、実際のインシデント発生を想定し、訓練も定期的に実施しています。この訓練はセキュリティ担当部門だけではなく、普段はセキュリティを担当していない部門でも当事者意識を持てるよう、あらゆるシナリオに沿って行っています。
林:
啓発活動は長い年月を重ねて地道に取り組んでいくことが大切ですよね。
飯田:
啓発活動に終わりはありません。また、一度で全てを理解してもらうことは不可能です。「習ったことはすぐに忘れてしまう」ことを覚悟し、社員からは「その話は聞き飽きた」と言われてもしつこく取り組むことです。啓発活動の目的は行動変容です。「社員の意識が変わった」と認識できるまで、私たちも「Never Give Up」の精神で取り組んでいきます。
内部不正対策の理想型は「仕組みの構造化」
林:
最後に今後の展望について教えてください。
飯田:
今後、クラウドサービスの普及はさらに加速するでしょう。その際に懸念されるのは、「利用者がクラウドサービスとは意識しないで利用してしまう」ことです。例えば、プレゼンテーションアプリで作成したスライドをPDFに変換するサービスがありますが、これも一種のクラウドサービスです。しかし、利用者にはその意識がありません。私たちは、そうしたサービスの安全性を確認する必要があります。そのうえで制御/許可の判断をダイナミックに実施しなければなりません。
業務の利便性とセキュリティはトレードオフの関係にあると言われています。しかし私は、両者は反目しないと考えています。セキュリティは社員を脅威から守る「盾」のような存在です。守られているからこそ、安心して業務に集中できる。こうした環境を実現するには、社員がセキュリティ対策の内容と必要性を理解することが必要です。そのうえで会社の情報資産やお客様のデータを守っていくことが重要だと考えます。
林:
CISOとして飯田さんご自身が注力していきたい取り組みはありますか。
飯田:
ソフトバンクグループ全体のセキュリティレベルの向上です。ソフトバンクはビジネスの急成長に伴い、関連会社および子会社の数が急激に増加しました。2021年末時点で約330社あります。会社の規模はさまざまですが、どんなに小さな関連会社でも、セキュリティインシデントが発生すると「ソフトバンク系企業のセキュリティインシデント」と認識され、グループ企業全体の信用を失墜させてしまいます。ですから、全てのグループ企業が「セキュリティ対策は一切の妥協を許さない」という姿勢で臨まなければなりません。そのためには子会社のセキュリティ対策支援も必要だと考えます。
林:
グループ企業を300社以上も擁していると、CISOとしてのセキュリティの舵取りは難しいと拝察します。それを強化したうえで、さらにビジネスを発展させていく熱意が伝わってきました。
飯田:
ソフトバンクでは役員から「仕組みと構造化でセキュリティ強化を果たせ」と言われています。これは、「人間の感覚や感情に左右されないセキュリティ環境を構築しなさい」という意味です。先にAIの試験的導入事例を紹介しましたが、AIを活用すれば人間が意識しなくても自動的にセキュリティが高められます。
こうしたアプローチが現時点での理想型だと考えています。ですから、この理想型という“ゴール”を目指して走るべく、「仕組みの構造化」の構築に注力していきます。
林:
サイバーセキュリティのイベントで、内部不正対策の具体的なお話を伺えるチャンスは貴重です。今回紹介していただいた御社の取り組みは、多くの企業にとってとても参考になると確信しています。ありがとうございました。
ソフトバンク株式会社 執行役員 兼 CISO テクノロジーユニット サイバーセキュリティ本部 本部長 飯田 唯史氏
特別対談:デジタルトラストの構築に向けたPwCのアクション
20 results
Loading...
デジタルアイデンティティを支える技術―ソリューション導入の失敗事例と成功事例―(SailPoint/Okta/CyberArk)
アイデンティティ(ID)管理のソリューションが求められる背景や導入の要点、やってしまいがちな失敗とその対策などについて、ID管理を手掛ける企業の専門家3名にお話を伺いました。
プライバシーガバナンス最前線―データ利活用を促進していくために、いま企業に求められていること―(リクルート/TMI)
膨大な量の個人情報を扱うリクルートのデータ保護・プライバシー保護専門部署の責任者と、プライバシー&セキュリティコンサルティングを専門とする弁護士を招き、今必要とされている取り組みと今後の展望を議論します。
デジタルプラットフォーム取引透明化法の「モニタリング・レビュー」にみる、新しい時代のトラストとは(経済産業省)
2021年2月に施行されたデジタルプラットフォーム取引透明化法の中で注目されている「モニタリング・レビュー」。同法に携わる経済産業省の担当者をお招きし、モニタリング・レビューの果たす意義と新しい時代におけるトラストのあり方を伺いました。
Loading...
インサイト/ニュース
20 results
Loading...
各国サイバーセキュリティ法令・政策動向シリーズ(4)メキシコ
各国サイバーセキュリティ法令・政策動向シリーズの第4回目として、メキシコ政府のデジタル戦略と組織体制、セキュリティにかかわる法律とその動向などについて最新情報を解説します。
各国サイバーセキュリティ法令・政策動向シリーズ (3)シンガポール
各国サイバーセキュリティ法令・政策動向シリーズの第3回目として、シンガポールのデジタル戦略やサイバーセキュリティへの取り組みについて、最新情報を解説します。
金融セクターに求められるセキュリティ規制対応―DORAとNIS2指令の関係
欧州におけるデジタル関連規制が急速に発展する中で、法令間の関係の適切な理解と効率的なコンプライアンス対応が課題となっています。金融セクターにおける「NIS2指令」と「DORA」への対応を事例として、課題へのアプローチを解説します。
2025年 Cyber IQ調査 ―生成AIの台頭とデジタル国境の形成に伴うサイバーリスクに企業はどう対応すべきか―
デジタル技術の進化や地政学的緊張の高まりの中で、企業は多数のサイバーリスクに直面しています。本レポートでは、法規制、生成AI、サプライチェーン、脆弱性管理、デジタルアイデンティティなどの急激な変化を考慮し、企業が取るべきリスク対応策について考察します。
Loading...
セミナー
3 results
Loading...
