本当に怖い社員の脅威

　サイバー攻撃の激化が止まらない。その被害は年々深刻さを増し、セキュリティ対策の重要性は一段と高まっている。そんな中、意外に見落とされがちなのが「内部の脅威」への対策だ。外部からの攻撃に備えるのはもちろん、職場内にも存在する脅威を正しく認識し、あらかじめ必要な対策を講じておいたほうがよい。身近な具体例を示しつつ、内部脅威から企業を守る道筋を考える。

激化するサイバー攻撃。だが見落としがちな内部脅威

　サイバー攻撃には、さまざまな種類がある。IPA（独立行政法人情報処理推進機構）が発表した「情報セキュリティ10大脅威 2021」によると、ランサムウエア、標的型攻撃、ビジネスメール詐欺といった項目と並び、「内部不正による情報漏えい」が６位に挙げられた。サイバー攻撃の加害者は「外部の人間」となる場合が多い。だが、内部不正が原因の場合は加害者、被害者共に同じ職場で働く仲間ということになる。もし不正を発見して被害を最小限に抑えられたとしても、社外の評価は上がるどころか「ダメな会社」の烙印（らくいん）を押されかねない。このため、内部不正による情報漏えいは身内の不祥事的に扱われ、公表されずに終わるケースも少なくないのが実情だ。

　サイバー攻撃に備える企業の対策は、「未知の相手から届いたメールの添付ファイルを開かない」「誘導されたWebサイト、サーバーにアクセスしない」など、外部の脅威から身を守る取り組みが中心になっている。しかし、内部不正を防ぐには「勝手にデータを持ち出すな」「このファイルにアクセスするな」といった、ある意味“人を見たら泥棒と思え”的な考えにも捉えられかねない対策を採る必要が出てくる。対策強化で職場がピリピリした雰囲気になるのを恐れて実施を先送りし、結果的に不正の温床になってしまう例も後を絶たない。

　もちろん内部脅威は悪意を持った特定の社員だけでなく、悪意のない社員の中にも存在する。「ついうっかりして」「不正だと思わずに」といった理由から発生したケースでも、重大な被害が生じることに変わりはない。内部脅威を考える際には、悪意の有無を問わない姿勢が求められる。

内部脅威あれこれ。ケーススタディーで考える

　内部不正による情報漏えいの手口は、その多くが極めて単純なものだ。「なりすまし」や「偽装」といったテクニックは不要。目的のデータをコピー&ペーストするだけで完了してしまう。IPAの資料から紹介しよう。

・金銭目的のデータ持ち出し
企業の元従業員Aが、金銭目的で自社の営業機密を含む情報をサーバーから自身の保有する記憶媒体にコピーして持ち出し。不正競争防止法違反の疑いで逮捕された。

・市役所職員による情報流出
市役所職員Bが、業務で使用していたパソコンに保存されていた職員約2700人分の個人情報を地元紙のメールアドレス宛てに送信して漏えい。懲戒免職となった。

・社内評価を高めるため情報漏えい
企業の元従業員Cが、社内での評価を高めるため外国企業の求めに応じ、自社製品の素材に関する機密情報をメール送信。不正競争防止法違反容疑で書類送検された。

　これらのケースは金銭や社内評価など目的は異なるものの、社外に流出すれば深刻な事態を招くのが明らかなデータを簡単に持ち出しているのが特徴だ。企業の中にはパソコンのUSB ポートを封印しているところもあるが、その効果のほどは定かではない印象がある。

対策は社員教育だけでは不十分

　このような内部脅威に対し、企業・組織が行うべき取り組みとしてIPAが示した項目を紹介する。

【内部脅威に対し企業・組織が行うべき取り組み】

1．被害の予防
・基本方針策定（内部不正対策は経営者の責任であることを示すとともに、組織横断的な管理体制を構築）
・重要資産の把握、体制整備（重要度に合わせてランクを分け、管理者を決定）
・重要情報の管理、保護（重要情報のIDおよびアクセス権の登録・変更・削除に関する手順を定めて運用。異動や離職に伴い不要となったIDなどは直ちに削除し、適切な管理と定期的な監査を実施）
・物理的管理の実施（重要情報を扱う場所への入退室を管理。USBメモリーやスマートフォンなどの記録媒体は利用制限を行い、持ち出し・持ち込みを管理する。また、記録媒体を廃棄する際には適切な消去を実施）

2．情報リテラシー、モラルの向上
・人的管理およびコンプライアンス教育の徹底（情報取り扱いポリシーの作成、内部不正者に対する懲戒処分などを規定した就業規則の整備を行い、従業員に対する教育を定期的に実施。また離職者と秘密保持契約などを締結し、離職後の情報漏えいを防止）

3．被害の早期検知
・システム操作履歴の監視（重要情報へのアクセス履歴および利用者の操作履歴などのログ、証跡を記録し、定期的に監視することで早期検知に努める）

4．被害発生後の対応
・関係者、関係機関への連絡
・警察への連絡
・CSIRT など所定の連絡先への連絡
・影響調査および原因の追究、対策の強化
・内部不正者に対する適切な処罰の実施

IT資産管理と端末の制御といった管理体制が抑止に

　これらの項目は、何らかの悪意を持った人物による不正行為防止に焦点が当てられているが、不注意や作業ミスを原因とする事例に対しても十分適応可能だ。まず予防の部分では、経営者が率先して対策に取り組む姿勢を前面に出し、全社員が自分の問題として真摯に向き合うことを求めている。また掛け声倒れに終わらないよう定期的な教育や管理を継続し、セキュリティ確保を「働くための前提」として認識させることが重要だとしている。

　ただし、どれだけ細心の注意を払っていても人間である以上、ミスや不注意は避けて通れない。その発生を未然に防ぐ方法として注目されているのが早期検知の仕組みだ。最近では重要データへのアクセスやパソコンの操作履歴を記録し、「いつもと違う」動きを見逃さず対策を講じることが可能なソリューションが提供されている。

　「セキュリティ対策に終わりなし」と言われるが、問題が発生した場合に企業が受けるダメージは計りしれない。常に最新情報をチェックし、より有効な対策を検討すべきだろう。