セキュリティの
学び場

今回の解説ニュース

IPAが公開している内部不正防止のガイドラインが改訂されました。内部不正を防止するために気を付けるべきポイントについて説明します。

今回のガイドライン改訂は、組織における内部不正防止を推進するために、IPAが2013年3月に「組織における内部不正防止ガイドライン」を公開したものを、近年の事業環境の変化や情報漏えい対策技術の進歩などを踏まえ、5年ぶりに第5版として改訂されました。

同ガイドラインでは、内部不正防止の重要性や対策の体制、関連する法律などの概要を平易な文体で説明し、「基本方針」「資産管理」「技術的管理」「職場環境」「事後対策」等の10の観点のもと、合計33項目からなる具体的な対策を示しています。第5版の主な改訂ポイントとして「テレワークの普及に伴う対策」「退職者関連対策」「ふるまい検知等の新技術活用に伴う対策」の3点が挙げられています。

内部不正防止対策の主な改訂ポイント

内部不正防止対策の主な改訂ポイントとして挙げられている「ふるまい検知等の新技術活用に伴う対策」について説明します。

まず、どのようなリスクがあるかについてガイドラインでは、深夜時間帯の大量のファイルダウンロード、重要性が高い情報へのアクセス、役職員の離職、個人用クラウドストレージへの同期などを挙げています。それらのリスクへ対策するために、AI等の最新技術を組み入れた内部不正モニタリングシステムは、役職員の通常行動を学習し、継続的にログを監視し、行動に重大な変化が生じた場合にこれをリアルタイムに特定する機能を提供してくれるということです。

ただし、高機能であればあるほど、これを役職員の保護以外の目的で使用することへのハードルが低くなることが懸念されています。具体的には、従業員のプライバシーや人権を保護するため、個人情報保護法等の法的要求を満足できる組織体制を構築した上で、監視機能の有効性に加えて従業員保護の目的を実現できるシステムを選定し、自動化された判断に頼りすぎない運用体制を構築することが必要であるとしています。

まとめると「プライバシーへの配慮を前提に、AI技術を活用して従業員のふるまいを監視し、適切な対応を速やかに行う」ことを必要としています。

内部不正を防止するために気をつけるべき考え方

内部不正防止の観点では、一般的なセキュリティ対策でも引き合いに出される、性弱説に基づいた考え方を大切にしています。

例えば、Aさんがメールの誤送信をしたとします。この場合、誤送信の責任がAさんにあるという考え方は、インシデントを防ぐためには不十分で、Aさんに誤送信をさせてしまった仕組み自体に問題があると考えることが必要です。仮に、Aさんに責任があることを前提に再発防止策を考えてしまうと、宛先のダブルチェックやセキュリティ教育のみで解決しようとしてしまいます。もちろん、それはそれで必要な対策なのですが、本当に再発しないか心配になるのは僕だけではないはずです。

仕組みに問題があることを前提とすると、メールを送信する過程にも目を向けることができます。具体的には、宛先が社外で、かつ添付ファイルがあるなど一定の条件を満たした際に、メールが管理者へ自動的に転送されて、承認されてからメールが送信される仕組みや、そもそもメールという仕組み自体が見直されることも検討されるかもしれません。

このように、人は本来ミスをする弱い生き物であることを前提とすると、より実効性の高いセキュリティ対策を検討することができます。これは内部不正を防止する観点でも同様で、内部不正の動機自体を生ませない仕組みが必要とされる考えに至ります。簡単に言えば「内部不正は割に合わない」と従業員が思えるような仕組みを実現することです。具体的な方法は、今回のガイドラインに通ずるところがあります。

今回は、内部不正を防止するために気を付けるべきポイントについてお届けしました。性弱説はセキュリティでよく必要とされる考え方になりますので、皆さんも身近なセキュリティの課題にあてはめて考えてみてください