漏れのない内部不正対策のアプローチと「GUARDIANWALL Mailセキュリティ・クラウド」の活用
「顧客リストの持ち出し」対策は難しい… 内部不正の“抜け穴”をふさぐには?
提供: キヤノンマーケティングジャパン
対策は「禁止」「抑止」「監査」の3つを組み合わせたアプローチで
こうした内部不正を効果的に防ぐためには、「禁止」「抑止」「監査」の3つを組み合わせたアプローチで対策を行うべきだ。具体例も挙げてまとめると、次のようになる。
■禁止:機密情報を持ち出せないようにする対策。たとえば機密情報を保管しているサーバーへのアクセス制限、USBメモリなどの使用制限など。
■抑止:不正を行った従業員に「自分はやっていない」「不正だと知らなかった」などと言わせないための対策。たとえば明確なルールの策定、社員教育の徹底など。
■監査:従業員に「不正行為は必ず発覚する」と思わせるための対策。機密情報へのアクセスログやユーザーの操作ログの取得、定期的なログ監査など。
ここでは、禁止/抑止/監査の「どれか1つだけ」「2つだけ」の対策では不十分であることを理解しておきたい。
たとえば、機密情報にアクセス制限をかけたとしても、業務上でアクセスが必要な従業員までブロックすることはできないので、禁止ルールの明示や社員教育も必要だ。また、ルールだけを定めても、悪意を持つ従業員ならばそれを無視して不正を働き、疑われても「やっていない」と言い張ることができてしまう。内部不正ができてしまう“抜け穴”をふさぐためには、3つの対策すべてを行うことが大切だ。
“抜け穴”のない内部不正対策を実現するには、ルールとツールの両方が必要である。具体的には、次の4ステップで導入を進めればよいだろう。
■(1)現状の把握:守るべき情報資産を特定する。
■(2)ルール/教育:明確な情報管理ルールを策定し、社員教育を通じてルールへの理解を徹底する。
■(3)ツール導入:禁止/抑止/監査を実施するための各種セキュリティツールを導入する。
■(4)禁止/抑止/監査の実施:策定したルールにのっとり、ツールを使って各種対策を実行する。
情報持ち出し手段になりやすい「メール」、その対策は?
上述のステップ(3)で導入するセキュリティツールには、さまざまなものがある。たとえば、アクセス制限やアクセスログ取得が可能なクラウドストレージ/ファイルサーバー、USBメモリなどの外部ストレージ接続を禁止するPC管理ツールなどだ。禁止/抑止/監査の全体をカバーするためには、複数のツールを組み合わせて“多層防御”アプローチで取り組む必要がある。もっとも、導入済みのツールをうまく組み合わせれば、対策コストを抑えることができるはずだ。
ここで注目したいのが「メール」の内部不正対策である。メールは従業員が日常的に使う業務ツールなので、不正な情報持ち出しが目立ちにくい。だが、メールの内部不正対策がしっかりできている企業は、多くはない。
このメールにおいても、禁止/抑止/監査という3つのアプローチの対策が重要である。それぞれ、以下のような対策が可能だ。
■禁止:
・特定情報の送信ブロック:営業秘密、個人情報が含まれる情報の送信を禁止する。
・特定宛先の送信ブロック:フリーメールアドレス、競合企業への送信を禁止する。
■抑止:
・メール利用ルールの策定:具体的に「何がダメなのか」を明文化する。
・第三者の送信前チェック:送信完了前に上司などの承認プロセスを入れる。
■監査:
・ルール違反メールの通知:IT管理者やセキュリティ担当者への自動通知を行う。
・メールログの管理/可視化/分析:送受信ログを取得し、ルール違反の発生状況などを把握する。
・メールアーカイブの活用:過去に送信されたメールの内容を確認できるようにする。
・定期的な内部監査の実施:不審なメール送信が繰り返されていないか監視を行う。
メールでも禁止/抑止/監査の“三位一体”での対策が必要だ