退職プロセスの整備でリスクの低減を
そうした事態を避けるために、退職プロセスを整備し、退職によって引き起こされるリスクを低減することが重要です。
一般的に退職に伴うさまざまな手続きや説明は、直属の上司が行うケースが大半です。しかし、上司は必ずしも退職プロセスに関するトレーニングを受けているわけではありません。そのうえ、退職者本人との距離が近いため、必要なタスクの見落としや、「ここまで説明しなくても大丈夫だろう」と自己判断で飛ばしてしまう可能性があります。
その結果、退職者が「そんな話は聞いていない」とネガティブな感情を抱いてしまう不幸なケースが起こりかねません。
それを避けるためにも、上司とは別に、きちんとトレーニングを受けた人物が「退職プロセスオーナー」となって、明確に文書化された退職プロセスに沿って、退職に関するオリエンテーションや経費精算、PCの引き渡しやアクセス権限管理、リスク・コンプライアンスに関するガイダンスといったタスクを着実に実行すべきです。
なお、この退職プロセスは一つだけとは限らず、退職時の役割や勤務地、「出戻り転職」を許すかどうかや転職先が競合かどうかといった条件に応じて、複数用意しておくことが望ましいでしょう。
そして、この退職プロセスを一貫した形で実行するため、ID管理基盤や自動化といったテクノロジの力を組み合わせることも有効です。
例えば退職の申請が上がったら、ネットワークのアクセス権限を剥奪し、最終的にはアカウントを抹消していくといったプロセスを自動的に進めることで、ミスによって退職者が外部からシステムにアクセス可能な状態になっていた――こうした事態を避けることができます。
また、機密情報を保護する情報漏洩対策ソリューションを活用して当該退職者の振る舞いを可視化し、出来心などで持ち出しを図ろうとした際にはリアルタイムに注意喚起を行い、水際で食い止めることも可能です。このように、ルールやプロセスに加え、テクノロジを適切に組み合わせることもポイントと言えるでしょう。
不正のトライアングル、「動機」以外の二要素を削ることで抑止を
改めて、日本で発生した内部不正、内部脅威による情報漏洩事件の傾向を確認してみましょう。
プルーフポイントがまとめたところ、国内で一番多いのは、ここまでも繰り返し登場した「退職に伴う情報漏洩」です。次は、権限が集中している「システム管理者による情報漏洩」や「委託先からの情報漏洩」で、現に数十万件、数百万件といった個人情報が外部に持ち出される事件が発生しています。さらに、上司とのトラブルなど職場環境に起因する不正行為や、ルール不徹底に起因する不正行為も無視できない数に上っています。
ここでもう一つ留意したいのが、「なりすましアカウントによる情報窃取」です。外部の攻撃者が正規のアカウントを盗み出し、それを用いて内部の人間に成り済ました上で情報漏洩を働くパターンです。
多くの企業では、ファイアウォールやアンチウイルス、EDRといったソリューションを導入して外部からの不正侵入に備えています。これらは、MITERのATT&CKフレームワークでいう「認証情報へのアクセス」が起こる前の段階に備えた対策です。しかし、他のところで流出した情報を悪用したり、脆弱性を悪用したりしてアカウント情報を入手され、なりすましに悪用されてしまった場合、こうした振る舞いを検知、ブロックする手段はあまり存在しません。
このように考えると、たとえ認証を経た正規のユーザーであっても、ゼロトラストセキュリティの考え方に基づいて、疑わしい挙動をしていないかどうかを見ていく仕組みが必要です。
なりすましも含めた内部脅威による情報漏洩は、非常に多くの損失をもたらします。IBM Security Ponemon Instituteのレポートによると、内部脅威によって発生したインシデントの平均コストは64万6000ドル、日本円にして9000万円を超えました。かつ、企業の60%では一年間に30件以上の内部脅威インシデントが発生しているため、これを掛け合わせると一組織あたりの年間総コストは約22億円に上る計算です。
「内部不正のトライアングル」に注目
これだけの損失が引き起こされることを念頭に置き、いかに内部脅威を抑えるか、真剣に検討しなければならない時期に来ています。
その際に参考にしたいのが、アメリカの犯罪学者、ドナルド・クレッシーが提唱した「内部不正のトライアングル」です。この理論によると、内部不正は動機と機会、正当化という3つの条件がそろった時に行われます。
ただ、このうち「動機」をつぶすのは現実的には困難です。金銭、名誉欲や承認欲求、あるいは自身の信念など動機は一人一人異なり、対策しづらいからです。となると、残る機会、もしくは正当化の理由のどちらかを排除することが、内部不正対策に有効と言えます。
例えばリアルタイムな監視の仕組みを整え、内部不正を働いたときに捕まるリスクを高め、機会を潰すことで犯行を抑止するのは、有効なアプローチの一つと言えるでしょう。また、コンプライアンス教育を定期的に実施し、ルールの周知を徹底することによって、内部犯行を正当化する理由を排除することも重要です。
こうした内部不正に特化したソリューションを導入することで、リモートワークをしていたり、退職が近かったりで、機会や正当化の理由が増えがちな従業員の振る舞いを可視化し、リアルタイムに牽制することができます。それがひいては、情報漏洩の抑止につながります。
もちろん、手元のスマートフォンで書類を撮影して持ち出すことや、自分の頭に記憶するといった手法になると、こうしたソリューションで止めるのは不可能です。それを防ぐには、なぜ持ち出してはいけないのか、仮に持ち出した場合にはどのような損害賠償請求を受ける恐れがあるのかといった事柄を伝えるコンプライアンス教育の徹底しかありません。
また、先に触れたように、入社時・退職時だけでなく毎年機密保持契約を結ぶことや、細かく注意喚起を出すことも抑止につながるでしょう。
大多数の善良な従業員を守るためにも、内部脅威対策への取り組みを
内部不正の話ばかりしていると、「そんなに従業員のことが信じられないのか」と感じる人もいるかもしれません。もちろんその通りで、おそらく従業員の99.99%は不正など考えもつかない善良な人々です。そのほぼ大多数の善良な従業員を守るためにも、0.01%の従業員に抑止をかけることが重要なのです。
折しもニューノーマル時代、世界は大きく変化し、クラウドシフトやテレワークが浸透しました。それらを狙うサイバー攻撃は洗練化され、背景に国家の思惑の潜む経済安全保障問題も浮上しています。そして、前述の通り大量退職の時代が到来しています。
こうした変化を踏まえ、多くの企業ではゼロトラストに基づくセキュリティ対策の見直しを図り、サプライチェーンリスクにも対策するなど、さまざまな対策を講じ始めています。ここで盲点になりがちなのが内部脅威対策です。繰り返し示してきた通り、内部からの情報漏洩は無視できない割合を占め、かつもたらすインパクトが大きいにもかかわらず、セキュリティ投資の多くは外部からの侵害に備えるものに費やされ、内部脅威対策の比率は少ないままです。
性善説を信じたい気持ちも大切ですが、もはやそれが通用しない時代が到来しています。外部攻撃によるリスクよりもずっと大きな内部脅威のリスクにしっかりと目を向け、個人の信頼性の確認や、後追いのアラートではないリアルタイムな抑止といった対策をとっていくべき時期に来ていると言えるでしょう。