{{item.title}}
{{item.text}}
{{item.title}}
{{item.text}}
2021-04-07
インサイダースレット(Insider Threat)とは、組織内部者による組織への脅威のことを指します。知的財産の窃盗行為、詐欺行為、情報リソースに対する破壊行為という3つのカテゴリに大きく分けることができます。イメージしやすいものとして、内部者による外部への情報漏えいが挙げられます。PwCが行った「経済犯罪実態調査2020」によると、過去2年間で経済犯罪・不正被害にあった日本企業は21%、その中で組織内部者が主犯格だったものが53%と過半数を占めています。
近年、日本でも関連する事案が多発しています(図表2)。大手企業の元従業員が自社の技術機密情報を外国企業に漏えいしたとされる事案では、元従業員は外国企業の従業員からオンライン上で接触を図られ、「評価を高めたい」という功名心に付け込まれたと見られています。これ以外にも、別の企業の元従業員が、営業秘密を含むデータを海外政府関係者に漏えいするという事件や、先端技術に関する機密情報を不正入手し、別の企業に漏えいした疑いで刑事告訴される、といった事案が発生しています。
組織内の人間または関係者が引き起こす情報漏えいには大きく2つの共通点があります。一つは、当事者の動機として、金銭や地位に対する欲求、現在の処遇に対する不満があったことが多く報じられている点です。もしこのような動機を事前に把握することができれば、企業は早期に対策を打つことができ、不正予防が可能になったと考えられます。もう一つは、情報の漏えい先が通常業務を通じて知り合った相手だけではなく、プライベートな状況で接触があった先であるという点です。従業員のプライベートにおける接触先を特定することは、企業の通常業務に対するモニタリングでは難しく、早期の対応は困難と言わざるを得ません。
世界のデータ流出事案に関する報告書*1によると、2019年度に発生したインサイダーが絡む情報流出事案は、従業員のうっかりミスによるものも含め、全体の34%を占めています。
新型コロナウイルス感染症(COVID-19)拡大の影響で在宅勤務やリモートワークが増え、個人所有のデバイスを業務にも利用するBYOD(Bring Your Own Device)の流れも加速しています。企業にとっては、従業員が自分の生活スタイルに合わせて柔軟に働けることで従業員満足度の向上を実現し得る一方、インサイダースレットを引き起こす機会も増加していると言え、情報漏えい対策の強化が、より一層求められています。
また、SNSの普及により、私たちは以前は想像もできなかったほど多様な人々とつながることができるようになりました。そのような中、悪意ある人物が情報窃取を目的に、SNS上でターゲットにアプローチすることも増えています。実際、冒頭で言及した情報漏えいの事例でも、元従業員が外部の人間と知り合ったのはSNSでした。さらに、SNSなどを運用しているシステムの脆弱性により、個人情報や企業情報が第三者に漏れる事案も発生しています。企業においては、システムの使用上のルールの策定や改訂といった、会社制度の見直しも必要になっています。
外部環境が目まぐるしく変わっていく中、企業が情報を守る手段もそれに応じて変化しなければ、インサイダースレットによる経済的およびレピュテーション上の悪影響は、今後ますます拡大するものと考えられます。
では、企業側はどうしたら身を守れるでしょうか。インサイダースレットへの対策としては、従業員がどういう人物なのか(プロファイル)、どういう行動傾向があるかを把握することで、「動機」と「機会」を捉え、不正が起きる前に予兆把握する態勢を構築する必要があります。
まず、インサイダースレットの動機である金銭、地位への執着や、企業への不満を持つ従業員の有無を把握することが肝要です。動機を捉えるためには指標が必要です。従業員の言動から傾向や特徴をデータとして補足し、指標を定めることができます。例えば、パフォーマンスの低下や、上司からの注意の増加、また同僚との会話における不満をほのめかす発言やチャットなどは、インサイダースレットの前触れとして指標に反映してよい項目でしょう。このような特徴が垣間見える従業員をよりモニタリングする、といった対策は有効であると考えられます。
次に重要なのは、不正につながる「機会」を捉えることです。多くの企業はセキュリティの在り方として「境界型防御」を採用しています。これは外部からの攻撃を防ぐには有効な手立てですが、内部からの犯行には無力となってしまいます。社内外を問わず脅威が存在する「ゼロトラスト時代」に突入している昨今、社内における不正の機会をも捕捉するためには、機密情報へのアクセス権を持つ従業員の行動をモニタリングし、ベンチマークとなる「通常値」を把握した上で、通常と異なる「異常値」を捉えることが重要になってきます。
インサイダースレットを犯すきっかけは、外部からの悪意を持った人物との接触がきっかけになっていることが少なくありません。このような接触は基本的に業務外に行われていることが多いため、企業側がそれらを直接モニタリングすることは困難です。しかしながら、社外の人物とのやりとりに伴って生じる、通常とは異なる行動傾向を捉えることができれば、不正の予兆把握につなげることが可能です。例えば、ある従業員が業務外で悪意を持った人物から接触を受け、社内の機密情報を共有してほしいと依頼された場合、その従業員は、情報を探しに行く行為に出ると考えられます。通常アクセスしないファイルを多数開いたり、開いたファイルに対して編集をせずに閲覧、複製したりするなどの行動(異常値)が見られると予測されます。従業員の常日ごろの言動をモニタリングし、通常値をあらかじめ把握しておくことで、異常値を捉えることが可能になります。
上記で示した不正の動機や機会を広範に捉えるためには、テクノロジーを活用した高度なモニタリング態勢を構築する必要があります。インサイダースレットの予兆を網羅的に捉えるためには、全従業員を対象に、業務に関わるあらゆる言動をモニタリングすることで、不正行動との関連性を見つけやすくなります。不正につながるシナリオを作成した上で、それに照らし合わせて早い段階で不審な行動を見つけ、該当する従業員への対策を行い、不適切な行動をする機会を与えないようにすることが重要です。いざこれが実現すれば、膨大な量のデータのモニタリングになるため、テクノロジーを活用し、効率的な態勢を作る必要があると言えます。
モニタリング態勢を構築する上では、図表3のようなプロセスに沿って行います。
ここまでインサイダースレットの対策となるアプローチを紹介してきました。モニタリング態勢の高度化を図ることと同時に取り組むべきなのは、そもそも不正を起こさないようなマインドセント、組織における正しいカルチャーを醸成することです。不正を起こす動機の一つに、企業への不満があります。所属する企業が掲げているパーパスやミッション、バリューが日々の業務において実感でき、またそれらと経営層の言動が偽りなく一致したものとなっており、さらに従業員が考えや思いを安心してスピークアップできる環境であれば、不正につながる動機の創出の機会は低減すると考えられます。
カルチャー醸成の意義を不正のトライアングル理論*2から考えると、「正当化」に影響します。例えば、かつての上司や同僚であった退職者が社内情報の提供を依頼してきたような場合、その上司や同僚との人間関係から漏えいを正当化してしまうようなケースがあります。もしその企業に正しいカルチャーが醸成、浸透されていれば、そのような行動が法令に違反するだけでなく、倫理観や顧客に対する誠実性を毀損することに自ずと気付くはずです。他には、自社の業績のために他社の情報を不正入手しようとしているケースで考えると、仮に不正に入手した情報で利益が一時的に上がったとしても、持続可能性が低いことは一目瞭然です。不正に情報を入手した会社はレピュテーションが下がり、長期的に企業価値が下がることにつながるからです。
正しいカルチャーの醸成や浸透は短期間でできるものではありません。しかし、トップのコミットメント(言行一致)や採用・評価を含む正当な人事制度の確立、上司の役割・責任を含むコミュニケーション改善、リスクに気付くリスクセンスの向上施策などにより、継続的に改善していくことが、不正の温床を発生させないために必要と考えます。
最後に、有効なインサイダースレット管理態勢を構築するために考慮するべき5つの要素を図表4で紹介します。
時代の変化と共に私たちの働くスタイルは大きく変わってきています。当たり前だった終身雇用制度の存続が議論され、今後はジョブ型雇用、副業・兼業、リモートワーク、アウトソーシングをはじめとするサードパーティ利用の拡大などが当たり前の時代になることが予想されます。ステークホルダーの増加に伴い、インサイダースレットのリスクも高まると見込まれます。企業はより効果的なモニタリング態勢の導入と、健全なカルチャーの醸成を進める必要があるでしょう。
同時に、経営層と従業員が定期的に、方向性や大事にするべき価値観、企業のパーパスについて共通の認識を持っているかを確認し、同じ方を向いて歩んでいく――。こうした地道な取り組みで、インサイダースレットを発生させない環境を作っていくことも、重要と言えるのではないでしょうか。
*1:Verizon, 2019年. 「2019年度データ漏洩/侵害調査報告書」
*2:米国の犯罪学者であるドナルド・R・クレッシーが提唱した、不正行為は「機会」「動機」「正当化」の3つの不正リスク が揃った時に発生すると考える理論。
インサイダースレットへの対策を実際にどう実現するのかについては、入念な準備が必要です。PwCあらたは、インサイダースレットに関する専門的な支援を提供しています。オンラインセミナーも近日開催予定ですので、ぜひご視聴ください。
2021年4月20日(火)~7月23日(金)、オンデマンド配信を行います。