ソフトバンクが実践する内部不正によるサイバー犯罪対応（ソフトバンクCISO 飯田氏）

なぜ内部不正は増加しているのか―内部不正を誘発する環境の考察

林：
最初に経済犯罪に関する調査を紹介させてください。PwCが2020年7月に公開した「経済犯罪実態調査2020」によると、過去2年間で経済犯罪や不正被害にあった日本企業の割合は21％に上ります。その中で組織内部者が関与していた犯罪・不正は全体の53％を占めています。ソフトバンクが実施した社内におけるインシデント発生分析では、99％が内部脅威によるものだと伺っています。

飯田：
はい。その中にはクラウドの設定不備や第三者が閲覧可能な場所にパスワードを格納してしまったという「うっかりミス」も含まれていますが、近年は内部者によるセキュリティ脅威が増加しています。もっとも、インシデントは発生しているものの、ほとんどは水際で食い止められています。

林：
内部不正が増加している背景には何があるのでしょうか。

飯田：
3つの要因が挙げられます。

1つ目はコロナ禍におけるテレワークの拡大です。「自宅作業で誰にも見られていない」という環境が、不正を誘引させる要素になっています。

2つ目はSaaS（Software as a Service）など、クラウドサービスの普及です。これまではオンプレミスの閉じたシステムでデータを扱っていましたが、それがインターネットを介して利用するクラウドへと移行しました。SaaSはインターネットに接続できる環境さえあればどこでも利用できる便利なサービスですが、セキュリティの観点からは課題もあります。特に、企業の情報管理部門やセキュリティ担当者に無断でサービスを利用する「シャドーIT」の存在は、情報漏えいのリスクを高めています。

3つ目は「スマートフォンによる業務の効率化」です。スマートフォンを含めた通信サービスを提供しているキャリアとしては申し上げにくいのですが、スマートフォンで何でもできるようになったことで、公私混同した使い方が急増しました。

林：
労働環境が大きく変化した状況で業務を効率化するツールがあれば、安易に使ってしまう人は多そうです。では、社員や組織から見て、内部不正を誘発する環境とはどのような状態が考えられますか。

飯田：
1つ目は「退職時におけるモラルハザード」です。退職する際に、会社から情報を持ち出すことが悪いことだと認識していない人は一定数見受けられます。

2つ目は「会社情報資産に対する誤解」です。例えば、業務時間中に作成したプレゼンテーション資料の著作権は、自分に帰属すると考えている人がいます。「私が作成したのだから私のモノだ」と勘違いしてしまうのですね。会社業務の一環として作成した資料は、全て会社に帰属するという意識が低いのです。

3つ目は「会社OA環境における隙間」です。内部不正をしようとした人に「なぜやったのか」と問い詰めると、「すみません、できるからやっちゃいました」と言うのです。私の立場からすると信じがたいのですが、「外部に情報を持ち出すテクニカルな手段を、たまたま見つけたからやってしまった」というのが彼らの言い分です。

内部不正をしようとした人に概ね共通するのは、その理由を淡々と述べることです。そこから見て取れるのは「自分がやろうとしたことは悪いことであり、企業に深刻なダメージを与える」という自覚がないのです。もちろん、このような内部不正は、未遂で終わるケースがほとんどです。

内部不正対策の理想型は「仕組みの構造化」

林：
最後に今後の展望について教えてください。

飯田：
今後、クラウドサービスの普及はさらに加速するでしょう。その際に懸念されるのは、「利用者がクラウドサービスとは意識しないで利用してしまう」ことです。例えば、プレゼンテーションアプリで作成したスライドをPDFに変換するサービスがありますが、これも一種のクラウドサービスです。しかし、利用者にはその意識がありません。私たちは、そうしたサービスの安全性を確認する必要があります。そのうえで制御／許可の判断をダイナミックに実施しなければなりません。

業務の利便性とセキュリティはトレードオフの関係にあると言われています。しかし私は、両者は反目しないと考えています。セキュリティは社員を脅威から守る「盾」のような存在です。守られているからこそ、安心して業務に集中できる。こうした環境を実現するには、社員がセキュリティ対策の内容と必要性を理解することが必要です。そのうえで会社の情報資産やお客様のデータを守っていくことが重要だと考えます。

林：
CISOとして飯田さんご自身が注力していきたい取り組みはありますか。

飯田：
ソフトバンクグループ全体のセキュリティレベルの向上です。ソフトバンクはビジネスの急成長に伴い、関連会社および子会社の数が急激に増加しました。2021年末時点で約330社あります。会社の規模はさまざまですが、どんなに小さな関連会社でも、セキュリティインシデントが発生すると「ソフトバンク系企業のセキュリティインシデント」と認識され、グループ企業全体の信用を失墜させてしまいます。ですから、全てのグループ企業が「セキュリティ対策は一切の妥協を許さない」という姿勢で臨まなければなりません。そのためには子会社のセキュリティ対策支援も必要だと考えます。

林：
グループ企業を300社以上も擁していると、CISOとしてのセキュリティの舵取りは難しいと拝察します。それを強化したうえで、さらにビジネスを発展させていく熱意が伝わってきました。

飯田：
ソフトバンクでは役員から「仕組みと構造化でセキュリティ強化を果たせ」と言われています。これは、「人間の感覚や感情に左右されないセキュリティ環境を構築しなさい」という意味です。先にAIの試験的導入事例を紹介しましたが、AIを活用すれば人間が意識しなくても自動的にセキュリティが高められます。

こうしたアプローチが現時点での理想型だと考えています。ですから、この理想型という“ゴール”を目指して走るべく、「仕組みの構造化」の構築に注力していきます。

林：
サイバーセキュリティのイベントで、内部不正対策の具体的なお話を伺えるチャンスは貴重です。今回紹介していただいた御社の取り組みは、多くの企業にとってとても参考になると確信しています。ありがとうございました。