【リスクマネジメントの限界?】内部不正から考えるセキュリティ対策
最近、テレワーク導入や働き方の変化に合わせてセキュリティ対策について見直す企業が増加しているように筆者は感じます。
ランサムウェアや標的型攻撃などの外部要因においてセキュリティ対策を強化している企業は多いですが、併せて社員のリテラシーやモラルの低下、人的ミスなどの内部要因に基づくセキュリティ対策も考慮する必要があります。
本コラムではセキュリティ事故の事例から考察を行うとともに、どのようにリスクマネジメントや企業としての統率力(内部統制、コーポレート・ガバナンス)を高めていくか?などの観点から企業が今後検討すべき対策について整理します。
当社では以前にこちらのコラムも投稿しております。是非一読して頂けると幸いです。
《フェーズが変わったセキュリティ対策 −サイバー攻撃から内部犯行へ−》
1.内部不正が可能となってしまうセキュリティ環境とは?
内部からの情報漏洩の主な原因は組織の従業員や元従業員等、組織関係者の不正行為による機密情報の漏洩があげられます。
その結果、組織の社会的信用の失墜、損害賠償による経済的損失を受けるケースが多々あるため、他人事とは思わずに今一度、真剣に内部不正を起こさせないセキュリティ環境について考えてみましょう。
上記のようなセキュリティ環境の企業は少なくないのではないでしょうか?
また自社だけでなく、SCM(Supply Chain Management)を最適化する観点からも委託先や再委託先企業に対し、同程度の基準を意識してもらうことが必要となります。
2.事例からみるリスクマネジメント上の課題
1)再委託先社員による業務情報の無断ダウンロードおよびクラウドサービスへのアップロード
2021年8月初旬、委託先の再委託先社員による7万2000件を超える発注側の取引先・従業員関連情報を業務用PCへ不正にダウンロードし、他国の国内外部クラウドサービスの個人アカウントへアップロードしていたことが発覚しました。例え委託先が国内企業であっても、再委託先拠点のチェックが必要と警鐘を鳴らしています。
2)元社員による技術情報を他国企業へ持ち出し
他国企業から転職サイトを経由してコンタクトしてきたことをきっかけに何度かメール等で連絡を交わしています。その後、不正な利益を得る目的で2018年8月、2019年1月と2回に渡り、メールにて営業秘密情報を提供したとされています。
2021年8月に判決が執行猶予付きの罰金刑の判決となっています。
上記事例から委託先や再委託先企業の機密データに対するアクセス権限が適切だったのか?や人的管理およびコンプライアンス教育は徹底されていたのか?が考えられます。特に人的管理の部分についてはどれだけセキュリティ・コンプライアンス教育を徹底していたとしても、悪質な意思を持った人材による内部不正の犯行を完全に防ぐのは厳しいと言えるでしょう。リスクマネジメントの限界と言われる所以であり、どこの企業も苦労している部分だと感じています。
但し、実際にセキュリティ・コンプライアンス教育による効果は薄いのか?というとそうではありません。need to knowの原則に従った適切なアクセス権限の管理など情報へのアクセス制御とセキュリティ・コンプライアンス教育をうまく組み合わせることが重要です。併せて実際の業務の効率性なども考慮する必要があります。リスクマネジメントを高めつつ、業務とのバランスが取れたセキュリティ対策を実施して内部不正を限りなく抑止することが重要です。
3. 推奨したい検討すべきセキュリティ対策
今まで内部不正が原因のセキュリティ事故が発生していない企業は、これに対するセキュリティ対策を早急に講じる必要性があるのか?と考える方もいらっしゃるかもしれません。しかし、その問いに対して、内部不正によるセキュリティ事故の有無に関わらず検討する必要性はあると考えます。内部不正による情報漏洩は、決して無視出来ない状況であり、組織の社会的信用の失墜、損害賠償による経済的損失は計り知れず、そもそも発生させないセキュリティ環境を維持するために定期的なセキュリティ対策の強化や見直しが必要です。
テレワークなどの普及により働き方も大きく変わり、SaaSなどクラウドベースのアプリケーションの増加やテレワーク時のVPN利用などからリスクマネジメントを利かせることが難しい環境になっています。これらを取り巻くセキュリティ環境の変化に対応すべく、「ゼロトラスト」を採用する企業も増えてきています。これからのセキュリティの在り方やコンセプトも新しく求められている状況です。もしセキュリティ対策に不安や懸念があるならば下記例のようなセキュリティ対策をされているのかどうか見直すことを推奨致します。
※当社では、セキュリティ全般に関わる導入、推進に向けた各種コンサルティングサービスを提供しております。随時ご相談ください。
■関連記事
《経営課題としてのサイバーセキュリティ、成長戦略としてのサイバーセキュリティ》
《内部監査の必要性と実効性を改めて考える》
執筆者
山城 玲
株式会社Dirbato(ディルバート)
コンサルティンググループ シニアコンサルタント
SEとして、長年Web領域のフロントやバックエンドの設計から運用、マネジメントまで一貫して担当。直近では開発規約や他ガバナンス、メソドロジの策定などでセキュリティに関わる業務に従事。
趣味はグルメ(日本酒、海鮮)
この記事が気に入ったらサポートをしてみませんか?