インサイダースレットに企業はどう立ち向かうべきか―ゼロトラスト時代における内部不正の脅威と対策

2021-04-07

1.「身近な脅威」となったインサイダースレット

インサイダースレット(Insider Threat)とは、組織内部者による組織への脅威のことを指します。知的財産の窃盗行為、詐欺行為、情報リソースに対する破壊行為という3つのカテゴリに大きく分けることができます。イメージしやすいものとして、内部者による外部への情報漏えいが挙げられます。PwCが行った「経済犯罪実態調査2020」によると、過去2年間で経済犯罪・不正被害にあった日本企業は21%、その中で組織内部者が主犯格だったものが53%と過半数を占めています。

図表1 経済犯罪・不正被害にあった企業の割合

近年、日本でも関連する事案が多発しています(図表2)。大手企業の元従業員が自社の技術機密情報を外国企業に漏えいしたとされる事案では、元従業員は外国企業の従業員からオンライン上で接触を図られ、「評価を高めたい」という功名心に付け込まれたと見られています。これ以外にも、別の企業の元従業員が、営業秘密を含むデータを海外政府関係者に漏えいするという事件や、先端技術に関する機密情報を不正入手し、別の企業に漏えいした疑いで刑事告訴される、といった事案が発生しています。

図表2 日本における近年のインサイダースレット事案

組織内の人間または関係者が引き起こす情報漏えいには大きく2つの共通点があります。一つは、当事者の動機として、金銭や地位に対する欲求、現在の処遇に対する不満があったことが多く報じられている点です。もしこのような動機を事前に把握することができれば、企業は早期に対策を打つことができ、不正予防が可能になったと考えられます。もう一つは、情報の漏えい先が通常業務を通じて知り合った相手だけではなく、プライベートな状況で接触があった先であるという点です。従業員のプライベートにおける接触先を特定することは、企業の通常業務に対するモニタリングでは難しく、早期の対応は困難と言わざるを得ません。

2.さらなるデジタル化により、企業側の対策は必須に

世界のデータ流出事案に関する報告書*1によると、2019年度に発生したインサイダーが絡む情報流出事案は、従業員のうっかりミスによるものも含め、全体の34%を占めています。

新型コロナウイルス感染症(COVID-19)拡大の影響で在宅勤務やリモートワークが増え、個人所有のデバイスを業務にも利用するBYOD(Bring Your Own Device)の流れも加速しています。企業にとっては、従業員が自分の生活スタイルに合わせて柔軟に働けることで従業員満足度の向上を実現し得る一方、インサイダースレットを引き起こす機会も増加していると言え、情報漏えい対策の強化が、より一層求められています。

また、SNSの普及により、私たちは以前は想像もできなかったほど多様な人々とつながることができるようになりました。そのような中、悪意ある人物が情報窃取を目的に、SNS上でターゲットにアプローチすることも増えています。実際、冒頭で言及した情報漏えいの事例でも、元従業員が外部の人間と知り合ったのはSNSでした。さらに、SNSなどを運用しているシステムの脆弱性により、個人情報や企業情報が第三者に漏れる事案も発生しています。企業においては、システムの使用上のルールの策定や改訂といった、会社制度の見直しも必要になっています。

外部環境が目まぐるしく変わっていく中、企業が情報を守る手段もそれに応じて変化しなければ、インサイダースレットによる経済的およびレピュテーション上の悪影響は、今後ますます拡大するものと考えられます。

3.企業が採るべき対策

では、企業側はどうしたら身を守れるでしょうか。インサイダースレットへの対策としては、従業員がどういう人物なのか(プロファイル)、どういう行動傾向があるかを把握することで、「動機」と「機会」を捉え、不正が起きる前に予兆把握する態勢を構築する必要があります。

まず、インサイダースレットの動機である金銭、地位への執着や、企業への不満を持つ従業員の有無を把握することが肝要です。動機を捉えるためには指標が必要です。従業員の言動から傾向や特徴をデータとして補足し、指標を定めることができます。例えば、パフォーマンスの低下や、上司からの注意の増加、また同僚との会話における不満をほのめかす発言やチャットなどは、インサイダースレットの前触れとして指標に反映してよい項目でしょう。このような特徴が垣間見える従業員をよりモニタリングする、といった対策は有効であると考えられます。

次に重要なのは、不正につながる「機会」を捉えることです。多くの企業はセキュリティの在り方として「境界型防御」を採用しています。これは外部からの攻撃を防ぐには有効な手立てですが、内部からの犯行には無力となってしまいます。社内外を問わず脅威が存在する「ゼロトラスト時代」に突入している昨今、社内における不正の機会をも捕捉するためには、機密情報へのアクセス権を持つ従業員の行動をモニタリングし、ベンチマークとなる「通常値」を把握した上で、通常と異なる「異常値」を捉えることが重要になってきます。

インサイダースレットを犯すきっかけは、外部からの悪意を持った人物との接触がきっかけになっていることが少なくありません。このような接触は基本的に業務外に行われていることが多いため、企業側がそれらを直接モニタリングすることは困難です。しかしながら、社外の人物とのやりとりに伴って生じる、通常とは異なる行動傾向を捉えることができれば、不正の予兆把握につなげることが可能です。例えば、ある従業員が業務外で悪意を持った人物から接触を受け、社内の機密情報を共有してほしいと依頼された場合、その従業員は、情報を探しに行く行為に出ると考えられます。通常アクセスしないファイルを多数開いたり、開いたファイルに対して編集をせずに閲覧、複製したりするなどの行動(異常値)が見られると予測されます。従業員の常日ごろの言動をモニタリングし、通常値をあらかじめ把握しておくことで、異常値を捉えることが可能になります。

4.テクノロジーを活用したモニタリング態勢の構築を

上記で示した不正の動機や機会を広範に捉えるためには、テクノロジーを活用した高度なモニタリング態勢を構築する必要があります。インサイダースレットの予兆を網羅的に捉えるためには、全従業員を対象に、業務に関わるあらゆる言動をモニタリングすることで、不正行動との関連性を見つけやすくなります。不正につながるシナリオを作成した上で、それに照らし合わせて早い段階で不審な行動を見つけ、該当する従業員への対策を行い、不適切な行動をする機会を与えないようにすることが重要です。いざこれが実現すれば、膨大な量のデータのモニタリングになるため、テクノロジーを活用し、効率的な態勢を作る必要があると言えます。

モニタリング態勢を構築する上では、図表3のようなプロセスに沿って行います。

図表3 モニタリング態勢の構築に向けたプロセス
  1. 不正事例をもとにした不正シナリオの作成
    過去の不正事例よりシナリオの要素(人物、行動)を抽出し、類型化します。類型化された不正のパターンを詳細化したものがシナリオとなります。
  2. 不正シナリオの予兆捕捉のためのデータ特定
    脅威となり得る人物と行動の特徴を可視化するデータ指標を設定します。例えば、人物の特徴として「機密情報にアクセスする機会がある」「金銭や地位への執着」「会社への不満」「ずさんな性格」などを属性として定義するとします。その上で、そうした特徴を持つ人物の業務上の痕跡(「アクセス権限の有無」「社内コミュニケーションにおける発言内容」「規則・ルールの違反履歴」など)を調べながら、インサイダースレットの指標を特定していきます。これらをプロファイルとも言います。プロファイルでフィルターをかけることで、よりモニタリングの効率を上げることができます。また、行動に関するデータとして、日ごとの細かい行動痕跡も活用することが考えられます。例えば、従業員が顧客や同僚との電話やメールでやり取りした内容や頻度、パソコンで機密情報にアクセス・操作した履歴、入退室記録、勤怠時間などが挙げられます。
  3. ツールによるデータ収集、蓄積
    データを大きく分類すると、ログ系データ(情報アクセス、PCアクセス、入退室記録など)、コンテクスト系データ(メール・音声などのコミュニケーション)、人事系データ(業績、所属、処分歴など)に分けられます。それぞれのデータの収集に適したツールを検討します。
  4. ツールによるデータ分析、検知基準設定
    不正検知を実現する方法として専用ツールの活用が考えられますが、それらはあくまでも一事象、一動作の痕跡しか捉えることができないのが一般的です。そのため、それらのピースを合わせて全体像を可視化することが必要です。単体ツールのみでは断片的な不正の判断が難しくても、ログ系データや画像系データをコンテクスト系データとつなぐことで、問題行為の一連の流れ(ストーリー)が見えてきて、不正シナリオと照合することができるようになります。ここで重要なのは、各ツールの検知基準を、統合的に考えた上で設定する必要があるということです。また、実際に検知されたものを見て、定期的に検知基準を見直すことも必要となってきます。
  5. モニタリングフローの設定
    ツールの統合的な運用によって検知されたアラートには、シナリオの種類や対象者の属性に応じて慎重に対処する必要があります。モニタリングフローは、各企業の特徴に合わせて細かく設計していきます。従業員のプライバシーに対しても十分に配慮する必要があるため、モニタリングの手順や態勢(閲覧者の統制)については、事前に従業員に目的やプロセスを説明し、了承を得ることが必要です。また、人間によるモニタリングの内容を限定したり、閲覧する人員を最小化したり、従業員を匿名化したりするといった工夫も考えられます。

5.並行して取り組むべきカルチャーの醸成

ここまでインサイダースレットの対策となるアプローチを紹介してきました。モニタリング態勢の高度化を図ることと同時に取り組むべきなのは、そもそも不正を起こさないようなマインドセント、組織における正しいカルチャーを醸成することです。不正を起こす動機の一つに、企業への不満があります。所属する企業が掲げているパーパスやミッション、バリューが日々の業務において実感でき、またそれらと経営層の言動が偽りなく一致したものとなっており、さらに従業員が考えや思いを安心してスピークアップできる環境であれば、不正につながる動機の創出の機会は低減すると考えられます。

カルチャー醸成の意義を不正のトライアングル理論*2から考えると、「正当化」に影響します。例えば、かつての上司や同僚であった退職者が社内情報の提供を依頼してきたような場合、その上司や同僚との人間関係から漏えいを正当化してしまうようなケースがあります。もしその企業に正しいカルチャーが醸成、浸透されていれば、そのような行動が法令に違反するだけでなく、倫理観や顧客に対する誠実性を毀損することに自ずと気付くはずです。他には、自社の業績のために他社の情報を不正入手しようとしているケースで考えると、仮に不正に入手した情報で利益が一時的に上がったとしても、持続可能性が低いことは一目瞭然です。不正に情報を入手した会社はレピュテーションが下がり、長期的に企業価値が下がることにつながるからです。

正しいカルチャーの醸成や浸透は短期間でできるものではありません。しかし、トップのコミットメント(言行一致)や採用・評価を含む正当な人事制度の確立、上司の役割・責任を含むコミュニケーション改善、リスクに気付くリスクセンスの向上施策などにより、継続的に改善していくことが、不正の温床を発生させないために必要と考えます。

6.有効なインサイダースレット管理態勢を構築するために

最後に、有効なインサイダースレット管理態勢を構築するために考慮するべき5つの要素を図表4で紹介します。

図表4 有効なインサイダースレット管理態勢を構築するための5つの要素

時代の変化と共に私たちの働くスタイルは大きく変わってきています。当たり前だった終身雇用制度の存続が議論され、今後はジョブ型雇用、副業・兼業、リモートワーク、アウトソーシングをはじめとするサードパーティ利用の拡大などが当たり前の時代になることが予想されます。ステークホルダーの増加に伴い、インサイダースレットのリスクも高まると見込まれます。企業はより効果的なモニタリング態勢の導入と、健全なカルチャーの醸成を進める必要があるでしょう。

同時に、経営層と従業員が定期的に、方向性や大事にするべき価値観、企業のパーパスについて共通の認識を持っているかを確認し、同じ方を向いて歩んでいく――。こうした地道な取り組みで、インサイダースレットを発生させない環境を作っていくことも、重要と言えるのではないでしょうか。

*1:Verizon, 2019年. 「2019年度データ漏洩/侵害調査報告書」

*2:米国の犯罪学者であるドナルド・R・クレッシーが提唱した、不正行為は「機会」「動機」「正当化」の3つの不正リスク が揃った時に発生すると考える理論。

オンラインセミナーならびに支援内容の紹介

インサイダースレットへの対策を実際にどう実現するのかについては、入念な準備が必要です。PwCあらたは、インサイダースレットに関する専門的な支援を提供しています。オンラインセミナーも近日開催予定ですので、ぜひご視聴ください。

【オンラインセミナー】インサイダースレットに企業はどう立ち向かうべきか―ゼロトラスト時代における内部不正の脅威と対策

2021年4月20日(火)~7月23日(金)、オンデマンド配信を行います。

お申し込みはこちら


モニタリング態勢の確立に関する支援

  • 不正シナリオの作成
    • クライアントの業態、業務内容に即した、脅威と考えられる不正シナリオの作成
  • データ候補の特定
    • シナリオにおける検知ポイントの特定
    • 検知ポイントを捕捉するためのデータ特定
  • モニタリングツールの選定と導入
    • モニタリングツールの選定
    • モニタリングツールのデフォルト設定とシナリオの調整
    • 複数ツールにおける統合的な検知基準の設定
    • 導入後のテスト、基準の見直し
  • モニタリングフローの設定
    • 検知アラートの対応フローの設定
    • 監督者への統制方法の考案・設定
  • モニタリング実施にあたる従業員プライバシーへの配慮や法規制への対応

その他モニタリング態勢全体に関する支援

  • 組織体制、3つのディフェンスライン(3LoD)の確立(詳細はこちら
  • 組織文化(リスクカルチャー)の醸成(詳細はこちら
  • サードパーティの管理(詳細はこちら

執筆者

辻田 弘志

パートナー, PwC Japan有限責任監査法人

Email

※ 法人名、役職、コラムの内容などは掲載当時のものです。

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}