- 会員限定
- 2022/11/10 掲載
内部不正対策の再考、Azure ADなどを使った具体的な権限管理の方法を解説する
従来の内部不正対策と課題
2020年のコロナ禍、企業のリモートワーク対応が急がれた中、内部不正対策のプライオリティは一時的に下がった。しかしそこから2年経ったいま、従業員は少しずつオフィスへ戻り、オフィスとリモートを使い分けるハイブリッドワークの状態へ移行しつつある。「内部不正対策と一口に言っても、そのカバーする範囲は広いです。デジタル化の流れの中で、働き方のリモート化やシステムのクラウド移行が進み、クリエイティビティにより革新的な業務プロセスが生まれてくるでしょう。現時点では想像できないようなことが起こりうる未来に備えた内部不正対策の再構築が必要です」(矢野氏)
これまでのインサイダー脅威の主な着眼点と対処の仕方を振り返ってみよう。
まず「対象」という点では、一般従業員による悪意やミスが主たる対象だった。しかし、いま企業には、IT部門の特権を持つユーザーがいたり、業務部門にも、社外の委託スタッフなど直接雇用契約を結んでいないワーカーがいたりする。また、不正を働く動機がありそうな人として退職予定者が注目されるようにもなっている。
「発生事象」の観点では、情報漏えいが問題になることが多かった。矢野氏は、「セキュリティの3要素は機密性、完全性、可用性と言われていますが、機密性だけでよいのかということが問われている」と指摘する。機密性のプライオリティが下がることはないが、システムの不正利用や意図的な業務妨害の可能性も視野に入れる必要があるということだ。
「対処方針」としてはこれまで、ユーザーの操作内容をトレースし、疑わしい場合には牽制して機会を減らすという方針が主だった。しかし、操作のログを取って監視しているつもりでも、ログが多すぎて運用できず、脅威を検知できないケースが少なくない。
つまり、いままでの内部不正対策をそのまま続けていくと、デジタル化が進んだときには課題の側面がよりあらわになってくるということだ。
デジタル時代に備える内部不正対策3つのポイント
矢野氏は、デジタル時代に備える内部不正対策のポイントとして、「スピードへの対処」「見えないことへの対処」「当事者意識向上への対処」の3つを挙げた。「スピードへの対処」とは、人やデータの動きのスピードの変化への対処という意味だ。ユーザーがひんぱんにオフィスへ入ったり外に出たりするようになり、またクラウド利用の比率が高まり閉域外へのデータの移動も非常に多くなった。こうしたスピードの変化に、いかに対処していくかが1つのポイントとなる。
「見えないことへの対処」はどういうことか。これまで、従業員(ユーザー)がシステムを使う時は皆オフィスにいて、直接「見える」ところにいた。「人の目が届くところで悪いことをしないだろう」という考えがベースにあった。しかしリモートワークが拡大してユーザーが「見えない」となると、別の対処が必要だろう。
「当事者意識向上への対処」は、セキュリティ担当者、経営層、ユーザー部の3者間に存在する、セキュリティ責任に対する認識のズレを今後解消していかなければならないということだ。
セキュリティとデータのオーナーシップを再考する
企業では、データや情報の管理者を定めている。一般的にはユーザー部門の長が任じられているのが通常だろう。しかし、仮に情報が漏えいした場合、IT部門やセキュリティ担当者が責任を追及されることが多いのではないだろうか。「実はそれは、セキュリティの原則からするとつじつまが合いません。個人情報のような特殊な管理が法的に定められているものや経営に関わる最重要機密と違い、事業部門が使うような見積書や発注書、部門レベルの計画書などのデータは、事業部門に管理責任があります。漏えいしたときの責任も事業部門が負うのがセキュリティのセオリーです」(矢野氏)
しかし実際の企業では、そのように責任の所在と実際の対応がいびつな形になっている。矢野氏は、「このいびつな部分をそろそろ解消しなければ、デジタル時代に間に合わなくなるかもしれない」と注意喚起する。
なぜか。それは、ユーザーである事業部門において、「誰が」「何を」「どのように扱うか」を、IT部門やセキュリティ担当者は事細かに把握していないから。業務を知らないIT部門やセキュリティ担当者に責任を負わせると、情報管理の単位が大ざっぱになり、事業部門が追求すべきビジネスの俊敏性やユーザービリティが損なわれていってしまうのだ。
【次ページ】内部不正のスピードへの対処は権限管理がカギ
関連コンテンツ
関連コンテンツ
PR
PR
PR