セキュリティの
学び場

今回の解説ニュース

内部不正対策について重視すべきポイントが発表されています。あらゆる組織に存在している内部不正と、一般的には困難といわれているその対策について説明します。

今回の発表では、セキュリティ・リスク・マネジメントのリーダーが、内部不正対策を再考する際に重視すべきポイントとして「スピードへの対処」「見えないことへの対処」「当事者意識向上への対処」の3点を挙げています。

スピードへの対処は、常に変化するITおよびユーザーに対して情報の閲覧や送付などの許可や制限を動的に実施するアクセス管理の重要性が急速に増すとしています。見えないことへの対処は、重要視すべきはイベント分析から進化させた「ビヘイビア分析」としています。当事者意識向上への対処は、事業部門とユーザー自身がセキュリティの行動に主体性を持って対応することが重要としています。

これからの内部不正対策で重視、ビヘイビア分析とは

ビヘイビア分析は、通常から逸脱するような行動パターンに着目して、疑うべき行動を可視化する方法です。ビヘイビア分析の内容について説明します。

例えば、Aさんに対してビヘイビア分析をかけるとします。Aさんがいつも業務で使うサービスとしてGoogleやSlackなどが考えられますが、使用されている状況のログをただ見ているだけでは、正常な行動と見分けがつきません。ただし、深夜の2時にAさんがGoogleからファイルを大量にダウンロードしているログに注目することができれば、疑わしい行動として検知することができるかもしれません。

在宅勤務が一般化している中で、全員が目の届く範囲で仕事をしていることはなくなりました。つまり、内部不正対策の観点で、目視による監視からプログラムによる監視への移行が求められる中で、個々のイベント分析では発見できない内部不正をビヘイビア分析によって検知できる状況が期待されています。ただし、監視の検討においては従業員のプライバシーを侵害しないことを最優先に考えるべきとも言われています。

教育、訓練、ルール作り･･･､当事者意識の向上に大事なことは？

当事者意識を向上させるためには、組織がセキュリティ対策をする意味を正しく伝えることが必要です。ただし、本質的には属人性を排除した仕組化されたセキュリティ対策が求められます。

例えば、Aさんが所属しているグループのルールだけを一方的に伝えられたとします。真面目なAさんはちゃんとルールを守ってくれるかもしれませんが、面倒だなと感じた人は時にルールを破ってしまうことがあるかもしれません。原因として、ルールを守ることの意味が伝わっていない可能性が考えられます。

不要なWebサイトにアクセスしない、怪しい添付ファイルを開かない、ソフトウェアのバージョンアップをする、どれも複雑で面倒な作業です。理由もなくセキュリティのルールだけ押し付けられてしまえば、何とか楽をしたいと思うのが人間ではないでしょうか。なぜ、セキュリティのルールを守らなければいけないのか、そのルールが破られることによって誰が悲しむのか、ルールを守る意味を正しく丁寧に伝えることが求められます。

それでも、人間は弱い生き物であるという性弱説を否定することはできないため、属人性を排除したセキュリティ対策の仕組化が必要です。少しでも楽になりたい、仕事を簡単に片づけたいと思うこと自体は、悪いことではありません。例えば、不要なWebサイトにアクセスしないことを仕組化するためには、URLフィルタを導入することで実現できます。どのような状況であっても、セキュリティのルールが守られる仕組化が、性弱説に基づいた考え方では求められます。

今回は、内部不正とその対策についてお届けしました。