インサイダースレットに企業はどう立ち向かうべきか―ゼロトラスト時代における内部不正の脅威と対策

2．さらなるデジタル化により、企業側の対策は必須に

世界のデータ流出事案に関する報告書^*1によると、2019年度に発生したインサイダーが絡む情報流出事案は、従業員のうっかりミスによるものも含め、全体の34％を占めています。

新型コロナウイルス感染症（COVID-19）拡大の影響で在宅勤務やリモートワークが増え、個人所有のデバイスを業務にも利用するBYOD（Bring Your Own Device）の流れも加速しています。企業にとっては、従業員が自分の生活スタイルに合わせて柔軟に働けることで従業員満足度の向上を実現し得る一方、インサイダースレットを引き起こす機会も増加していると言え、情報漏えい対策の強化が、より一層求められています。

また、SNSの普及により、私たちは以前は想像もできなかったほど多様な人々とつながることができるようになりました。そのような中、悪意ある人物が情報窃取を目的に、SNS上でターゲットにアプローチすることも増えています。実際、冒頭で言及した情報漏えいの事例でも、元従業員が外部の人間と知り合ったのはSNSでした。さらに、SNSなどを運用しているシステムの脆弱性により、個人情報や企業情報が第三者に漏れる事案も発生しています。企業においては、システムの使用上のルールの策定や改訂といった、会社制度の見直しも必要になっています。

外部環境が目まぐるしく変わっていく中、企業が情報を守る手段もそれに応じて変化しなければ、インサイダースレットによる経済的およびレピュテーション上の悪影響は、今後ますます拡大するものと考えられます。

4．テクノロジーを活用したモニタリング態勢の構築を

上記で示した不正の動機や機会を広範に捉えるためには、テクノロジーを活用した高度なモニタリング態勢を構築する必要があります。インサイダースレットの予兆を網羅的に捉えるためには、全従業員を対象に、業務に関わるあらゆる言動をモニタリングすることで、不正行動との関連性を見つけやすくなります。不正につながるシナリオを作成した上で、それに照らし合わせて早い段階で不審な行動を見つけ、該当する従業員への対策を行い、不適切な行動をする機会を与えないようにすることが重要です。いざこれが実現すれば、膨大な量のデータのモニタリングになるため、テクノロジーを活用し、効率的な態勢を作る必要があると言えます。

モニタリング態勢を構築する上では、図表3のようなプロセスに沿って行います。

1. 不正事例をもとにした不正シナリオの作成
   過去の不正事例よりシナリオの要素（人物、行動）を抽出し、類型化します。類型化された不正のパターンを詳細化したものがシナリオとなります。
2. 不正シナリオの予兆捕捉のためのデータ特定
   脅威となり得る人物と行動の特徴を可視化するデータ指標を設定します。例えば、人物の特徴として「機密情報にアクセスする機会がある」「金銭や地位への執着」「会社への不満」「ずさんな性格」などを属性として定義するとします。その上で、そうした特徴を持つ人物の業務上の痕跡（「アクセス権限の有無」「社内コミュニケーションにおける発言内容」「規則・ルールの違反履歴」など）を調べながら、インサイダースレットの指標を特定していきます。これらをプロファイルとも言います。プロファイルでフィルターをかけることで、よりモニタリングの効率を上げることができます。また、行動に関するデータとして、日ごとの細かい行動痕跡も活用することが考えられます。例えば、従業員が顧客や同僚との電話やメールでやり取りした内容や頻度、パソコンで機密情報にアクセス・操作した履歴、入退室記録、勤怠時間などが挙げられます。
3. ツールによるデータ収集、蓄積
   データを大きく分類すると、ログ系データ（情報アクセス、PCアクセス、入退室記録など）、コンテクスト系データ（メール・音声などのコミュニケーション）、人事系データ（業績、所属、処分歴など）に分けられます。それぞれのデータの収集に適したツールを検討します。
4. ツールによるデータ分析、検知基準設定
   不正検知を実現する方法として専用ツールの活用が考えられますが、それらはあくまでも一事象、一動作の痕跡しか捉えることができないのが一般的です。そのため、それらのピースを合わせて全体像を可視化することが必要です。単体ツールのみでは断片的な不正の判断が難しくても、ログ系データや画像系データをコンテクスト系データとつなぐことで、問題行為の一連の流れ（ストーリー）が見えてきて、不正シナリオと照合することができるようになります。ここで重要なのは、各ツールの検知基準を、統合的に考えた上で設定する必要があるということです。また、実際に検知されたものを見て、定期的に検知基準を見直すことも必要となってきます。
5. モニタリングフローの設定
   ツールの統合的な運用によって検知されたアラートには、シナリオの種類や対象者の属性に応じて慎重に対処する必要があります。モニタリングフローは、各企業の特徴に合わせて細かく設計していきます。従業員のプライバシーに対しても十分に配慮する必要があるため、モニタリングの手順や態勢（閲覧者の統制）については、事前に従業員に目的やプロセスを説明し、了承を得ることが必要です。また、人間によるモニタリングの内容を限定したり、閲覧する人員を最小化したり、従業員を匿名化したりするといった工夫も考えられます。

6．有効なインサイダースレット管理態勢を構築するために

最後に、有効なインサイダースレット管理態勢を構築するために考慮するべき5つの要素を図表4で紹介します。

時代の変化と共に私たちの働くスタイルは大きく変わってきています。当たり前だった終身雇用制度の存続が議論され、今後はジョブ型雇用、副業・兼業、リモートワーク、アウトソーシングをはじめとするサードパーティ利用の拡大などが当たり前の時代になることが予想されます。ステークホルダーの増加に伴い、インサイダースレットのリスクも高まると見込まれます。企業はより効果的なモニタリング態勢の導入と、健全なカルチャーの醸成を進める必要があるでしょう。

同時に、経営層と従業員が定期的に、方向性や大事にするべき価値観、企業のパーパスについて共通の認識を持っているかを確認し、同じ方を向いて歩んでいく――。こうした地道な取り組みで、インサイダースレットを発生させない環境を作っていくことも、重要と言えるのではないでしょうか。

オンラインセミナーならびに支援内容の紹介

インサイダースレットへの対策を実際にどう実現するのかについては、入念な準備が必要です。PwCあらたは、インサイダースレットに関する専門的な支援を提供しています。オンラインセミナーも近日開催予定ですので、ぜひご視聴ください。

【オンラインセミナー】インサイダースレットに企業はどう立ち向かうべきか―ゼロトラスト時代における内部不正の脅威と対策

2021年4月20日（火）～7月23日（金）、オンデマンド配信を行います。

お申し込みはこちら

モニタリング態勢の確立に関する支援

• 不正シナリオの作成
  • クライアントの業態、業務内容に即した、脅威と考えられる不正シナリオの作成
• データ候補の特定
  • シナリオにおける検知ポイントの特定
  • 検知ポイントを捕捉するためのデータ特定
• モニタリングツールの選定と導入
  
  • モニタリングツールの選定
  • モニタリングツールのデフォルト設定とシナリオの調整
  • 複数ツールにおける統合的な検知基準の設定
  • 導入後のテスト、基準の見直し
• モニタリングフローの設定
  • 検知アラートの対応フローの設定
  • 監督者への統制方法の考案・設定
• モニタリング実施にあたる従業員プライバシーへの配慮や法規制への対応
  

その他モニタリング態勢全体に関する支援

• 組織体制、3つのディフェンスライン（3LoD）の確立（詳細はこちら）
• 組織文化（リスクカルチャー）の醸成（詳細はこちら）
• サードパーティの管理（詳細はこちら）