• 会員限定
  • 2022/11/10 掲載

内部不正対策の再考、Azure ADなどを使った具体的な権限管理の方法を解説する

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
記事をお気に入りリストに登録することができます。
企業がDX(デジタルトランスフォーメーション)を進める中、リモートワークによるユーザーの移動や、クラウド利用拡大によるデータの移動量が増え、新しい脅威環境が広がっている。何が起こるか分からないデジタル時代に、セキュリティ担当者がさらなる注意を払わなければならないポイントが「内部不正対策」だ。Microsoft 365などの実例を用いつつ、EDRM、DLP、CASBなどによる権限管理の実践方法をガートナーのディレクター,アナリスト、矢野薫氏が解説した。
執筆:畑邊 康浩
photo
ガートナー ディレクター,アナリスト、矢野薫氏

従来の内部不正対策と課題

 2020年のコロナ禍、企業のリモートワーク対応が急がれた中、内部不正対策のプライオリティは一時的に下がった。しかしそこから2年経ったいま、従業員は少しずつオフィスへ戻り、オフィスとリモートを使い分けるハイブリッドワークの状態へ移行しつつある。

「内部不正対策と一口に言っても、そのカバーする範囲は広いです。デジタル化の流れの中で、働き方のリモート化やシステムのクラウド移行が進み、クリエイティビティにより革新的な業務プロセスが生まれてくるでしょう。現時点では想像できないようなことが起こりうる未来に備えた内部不正対策の再構築が必要です」(矢野氏)

 これまでのインサイダー脅威の主な着眼点と対処の仕方を振り返ってみよう。

 まず「対象」という点では、一般従業員による悪意やミスが主たる対象だった。しかし、いま企業には、IT部門の特権を持つユーザーがいたり、業務部門にも、社外の委託スタッフなど直接雇用契約を結んでいないワーカーがいたりする。また、不正を働く動機がありそうな人として退職予定者が注目されるようにもなっている。

 「発生事象」の観点では、情報漏えいが問題になることが多かった。矢野氏は、「セキュリティの3要素は機密性、完全性、可用性と言われていますが、機密性だけでよいのかということが問われている」と指摘する。機密性のプライオリティが下がることはないが、システムの不正利用や意図的な業務妨害の可能性も視野に入れる必要があるということだ。

 「対処方針」としてはこれまで、ユーザーの操作内容をトレースし、疑わしい場合には牽制して機会を減らすという方針が主だった。しかし、操作のログを取って監視しているつもりでも、ログが多すぎて運用できず、脅威を検知できないケースが少なくない。

 つまり、いままでの内部不正対策をそのまま続けていくと、デジタル化が進んだときには課題の側面がよりあらわになってくるということだ。

デジタル時代に備える内部不正対策3つのポイント

 矢野氏は、デジタル時代に備える内部不正対策のポイントとして、「スピードへの対処」「見えないことへの対処」「当事者意識向上への対処」の3つを挙げた。

 「スピードへの対処」とは、人やデータの動きのスピードの変化への対処という意味だ。ユーザーがひんぱんにオフィスへ入ったり外に出たりするようになり、またクラウド利用の比率が高まり閉域外へのデータの移動も非常に多くなった。こうしたスピードの変化に、いかに対処していくかが1つのポイントとなる。

 「見えないことへの対処」はどういうことか。これまで、従業員(ユーザー)がシステムを使う時は皆オフィスにいて、直接「見える」ところにいた。「人の目が届くところで悪いことをしないだろう」という考えがベースにあった。しかしリモートワークが拡大してユーザーが「見えない」となると、別の対処が必要だろう。

 「当事者意識向上への対処」は、セキュリティ担当者、経営層、ユーザー部の3者間に存在する、セキュリティ責任に対する認識のズレを今後解消していかなければならないということだ。

画像
内部不正対策における再考ポイント
(出典:Gartner(2022年7月))

セキュリティとデータのオーナーシップを再考する

 企業では、データや情報の管理者を定めている。一般的にはユーザー部門の長が任じられているのが通常だろう。しかし、仮に情報が漏えいした場合、IT部門やセキュリティ担当者が責任を追及されることが多いのではないだろうか。

「実はそれは、セキュリティの原則からするとつじつまが合いません。個人情報のような特殊な管理が法的に定められているものや経営に関わる最重要機密と違い、事業部門が使うような見積書や発注書、部門レベルの計画書などのデータは、事業部門に管理責任があります。漏えいしたときの責任も事業部門が負うのがセキュリティのセオリーです」(矢野氏)

画像
ユーザー(事業)部門が情報を守る責任を持つ
(出典:ガートナー(2022年7月))

 しかし実際の企業では、そのように責任の所在と実際の対応がいびつな形になっている。矢野氏は、「このいびつな部分をそろそろ解消しなければ、デジタル時代に間に合わなくなるかもしれない」と注意喚起する。

 なぜか。それは、ユーザーである事業部門において、「誰が」「何を」「どのように扱うか」を、IT部門やセキュリティ担当者は事細かに把握していないから。業務を知らないIT部門やセキュリティ担当者に責任を負わせると、情報管理の単位が大ざっぱになり、事業部門が追求すべきビジネスの俊敏性やユーザービリティが損なわれていってしまうのだ。

【次ページ】内部不正のスピードへの対処は権限管理がカギ

関連タグ タグをフォローすると最新情報が表示されます

関連コンテンツ

あなたの投稿

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます