これまで本連載では、内部不正の定義にはじまり、そのリスクや対策について解説してきました。しかし、いつ起こり得るかわからない内部リスクを管理するには、どのような点に気をつけたら良いのでしょうか。本稿では、故意かどうかに関わらず起こり得る内部リスクの管理について、ご紹介します。

新しい従業員を採用して教育するときは、その人に一定の信頼を置いていることになります。実際に、チームが仕事をするには、顧客データや会社情報などの機密情報に対する最小限のアクセスが必要です。情報のアクセスと保護のバランスを取るには、どのようにすれば良いでしょうか。

新刊「Insider Risk Management:Adapting to the Evolving Security Landscape」(内部リスクの管理:変化するセキュリティ状況に適応する)で、著者Shawn M. Thompsonは、企業の信頼を得ている従業員がその企業に与える脅威について説明しています。過失の場合も故意の場合もありますが、現在見られるサイバーセキュリティイベントの多くは内部関係者が原因です。Thompson氏は内部不正の調査と管理に関する豊富な経験を活用し、内部リスクを軽減し、ネットワークを情報漏洩から守る方法について企業に助言しています。

リスクの理解

内部リスクの軽減に向けた最初のステップは、問題の範囲全体を理解することです。Thompson氏は、企業が今日直面している多くの問題について詳しい見解を述べています。同氏は、内部不正の問題を紹介し、効果の証明されたソリューションを推奨することにより、リーダーが不正を防止し管理するための次のステップを支援しています。この書籍では、大きく3つのセクションにわけて説明を行っています。

・問題:
内部不正のリスクは高まっていますが、多くの企業は問題の特定どころか、リスク対策すらほとんど取っていません。Thompson氏は、企業が直面する問題を説明し、継続的なリスク管理戦略を支援するために不可欠となるチームメンバーをあげています。

・コンテキスト:
このセクションでThompson氏は、内部不正がもたらす危険の全体像に注目し、不注意な従業員、良心的な反対者、不満を抱く従業員、泥棒など、データのセキュリティ侵害に関わるさまざまな人物像について説明しています。

・ソリューション:
内部リスクに対応するただひとつのソリューションはありませんが、Thompson氏は、全面的なリスク管理プランを開発、展開するために企業ができることを数多くあげています。これには、教育や認識向上、継続的な監視、監督とコンプライアンスなどの対策があります。

内部リスク管理が重要な理由

セキュリティ侵害の最も一般的な原因はマルウェアですが、内部不正もわずかな差に迫っており、不注意な従業員が原因の2位につけています。故意の内部攻撃も懸案事項となっており、雇用主の報告によれば過去12カ月のセキュリティイベントの30%は、故意に損害を与えようとする従業員の犯行だといいます。

しかし、より気がかりな事実は、内部関係者が実際にセキュリティを侵害すると、深刻な損害につながるということです。CERT内部脅威センターによれば、従業員による攻撃が成功した場合、外部の脅威と比較して倍の損害を引き起こすということです。企業が外部の脅威にばかり注目していると、外部のハッカーに引き起こされるよりもさらに大きな損害に自らをさらすことになりかねません。

こうした統計は、内部不正対策の重要性が高まっていることを明らかにしています。現状では、多くの企業は内部関係者によるインシデントを管理する準備ができていません。もちろん、そうしたインシデントの発生を最初から防ぐための対策も備えていません。ネットワークファイアウォール内に存在する脅威を最初に理解しておくことで、企業を安全に保つリスクマネジメント計画を策定できます。

ソリューションを見つける

内部リスク管理ソリューションの準備を成功させるにはいくつかの段階があります。最初は、計画の作成です。まず、既存のリソースを評価し、それらを利用してネットワーク内のあらゆる問題をどのように教育、監視、分析、調査できるかを判断します。これらのリソースには、導入済みのソフトウェアや、内部リスクチームとして業務を遂行できる従業員が含まれます。

内部リスクが企業にとって深刻な脅威になってきたため、脅威がエスカレートする可能性が高いタイミングを正確に予測するためのテクノロジーが進化しています。従業員の特定の行動から、解雇が近く、知的財産や独占情報の流出の可能性があることがわかる場合があります。これは、企業をリスクにさらすおそれがあります。こうした変化を監視するソフトウェアがあれば、チームはアラートを受け取り、リスクに目を光らせることができます。

また、Thompson氏は、企業を内部不正から守るために関わってくる要素についても詳しく説明しています。この説明には、セキュリティ侵害のリスクを緩和するために雇用開始時、雇用中、および雇用終了時に専門家ができることも含まれています。このガイドラインは、毎日直面する内部不正から企業を守るための重要な最初の一歩となります。

  • Cynthia Gonzalez Exabeam, Inc. プロダクトマーケティングマネージャー

    Cynthia Gonzalez
    Exabeam, Inc. プロダクトマーケティングマネージャー

セミナー紹介
マクニカネットワークスでは、次世代SIEMプラットフォーム「Exabeam」をご紹介するセミナーを開催しています。どうぞお気軽にご参加ください。
お問い合わせも随時受けつけています。下記のフォームから、気軽にお問い合わせください。

  • alt

[PR]提供:マクニカネットワークス