ガートナージャパン株式会社 (本社:東京都港区、以下Gartner) は、内部不正対策を再考する際に重視すべき3つのポイントを発表しました。
内部不正のリスクはあらゆる企業に存在しますが、その対策には多くの困難が伴います。外部の攻撃者の悪意ある行動を見抜くことはできても、信頼できるユーザーの不正はなかなか見抜けないのが実情です。内部関係者によるインシデントは、悪意によるもの以外にも過失やミスによるものなどさまざまありますが、対象は従業員だけではありません。契約社員あるいは協力企業の社員などにも同じセキュリティ・リスクが存在するため、対処が必要です。
アナリストでディレクターの矢野 薫は次のように述べています。「リモートワークの開始などで企業のIT環境自体が混乱したことにより、内部不正対策の優先度は一時的に低下していましたが、これからのデジタル時代では、ビジネスの変化とそのスピードに追随できる内部不正対策を目指して、これまでの対策を再考する必要があります」
セキュリティ/リスク・マネジメントのリーダーが、内部不正対策を再考する際に重視すべき3つのポイントは、以下になります。
スピードへの対処
これからのビジネス環境では、ITおよびそれを使うユーザーは常に変化し、一定ではありません。こうした中での内部不正対策として、ユーザーのアイデンティティを基に情報の閲覧や送付などの許可/制限を動的に実施していくようなアクセス管理の重要性が急速に増しています。
矢野は次のように述べています。「これまではユーザーの所属や役職単位でサーバやフォルダへのアクセス権を付与することが主流でした。しかし、このような対応では、アクセスする必要がないのに権限を付与していたり、本当にアクセス権が必要な人への付与が例外扱いになっていたりするなど、セキュリティと利便性の両面において、デジタル時代に求められるビジネスの俊敏性に応えられなくなってきました。ビジネス上のデータの流通を阻害せずにセキュアに保護するには、これまでの部門や職種よりも一段細かい単位で制御していく必要があります。つまり、ユーザーの業務範囲に着目し、どのファイルやデータへのアクセスが必要なのかを基準にセキュリティを制御していくやり方です。内部不正対策の観点で重要視すべきは、アクセス権の過不足をユーザー単位/データ単位で無くしておくことで、不正の機会を最小化することです。取り組む際には、IT部門だけではなく事業部門にも協力を依頼しながら組織的に進めていくことが重要です」
見えないことへの対処
ハイブリッド・ワークが積極的に検討されるようになり、ユーザーは必ずしも管理者の隣で仕事をするわけではなくなりました。つまり、内部不正対策の観点でのユーザーのモニタリングも、目視によるものから機械へと移行されることになります。これまでもユーザーのモニタリングは行われてきましたが、これからの内部不正対策で重要視すべきはイベント分析から進化させた「ビヘイビア分析」です。ログを見るだけではユーザーの正常な行動との見分けがつかないケースがありますが、ビヘイビア分析では、通常から逸脱するような行動パターンに着目し、疑うべきものを見えやすくします。なお、モニタリングの検討においては従業員のプライバシー侵害に抵触しないことを最優先に、常に念頭に置いて取り組むことが肝要です。
当事者意識向上への対処
セキュリティそして内部不正対策においては、事業部門そしてユーザー自身がセキュリティの行動に主体性を持って対応していくことが重要です。そのためにもこれまでの「セキュリティ・アウェアネス・プログラム」(セキュリティ意識向上プログラム) も再考する必要があります。
矢野は次のように述べています。「年に1回画一的に行うような従来のプログラムでは、経営およびIT部門のセキュリティに対する姿勢も熱意もユーザーには伝わりません。また、このようなプログラムでは、最近の攻撃手法を理解してもらうことに重きが置かれることがありますが、プログラムの本来の目的は攻撃手法への理解ではなく、決められたセキュリティ・ルールの周知であるということに一度冷静に立ち戻り、考える必要があります。画一的なプログラムからは一旦離れ、伝えたいメッセージを小さく区切って、クイズやゲーム要素を多用しながら親しみやすさを追求したプログラムを頻繁に行うといったものは、企業側の本気度が伝わりやすく効果があります。セキュリティを『自分事』として考えられるように、ユーザーには『決められたセキュリティのルールを守る』という立場で企業セキュリティの一翼を担っていることを認識してもらう必要があります」
Gartnerは7月25~27日に対面式で、ガートナー セキュリティ&リスク・マネジメント サミット 2022 (会場:ヒルトン東京お台場) を開催します。本サミットでは、セキュリティ戦略の再編、セキュリティ文化の醸成、リスク・オーナーシップの委譲、新たなセキュリティ・アーキテクチャの確立といったさまざまな視点から、最高情報セキュリティ責任者 (CISO) およびセキュリティ・リーダーに向けた実践的な提言を行います。本プレスリリースに関連する内容は、コンファレンス・チェアでもある矢野が「内部不正対策の再考:新しい時代の権限管理に向けて何をすべきか」と題した講演で解説します。関連するテーマについては国内外のエキスパートによる講演も予定しています。コンファレンスのニュースと最新情報は、Twitterでご覧いただけます (#GartnerSEC)。
Gartnerのサービスをご利用のお客様は、リサーチノート「セキュリティ:何をどこまで実施すべきか (内部不正やミスによる情報漏洩) 2022年」ならびに「クイック・アンサー:Microsoft 365の情報漏洩対策として何をすべきか」で関連する内容をご覧いただけます。
日本で提供しているサービスについては、こちらよりご参照ください。https://www.gartner.co.jp/ja/products
日本のITエグゼクティブ向けのニュースや最新情報は、GartnerのTwitterやFacebookでも案内しています。最新のプレスリリースや記事、ウェビナー情報については、こちらよりご参照ください。
