ガートナージャパン株式会社(本社:東京都港区、以下Gartner)は、内部不正対策を再考する際に重視すべき3つのポイントを発表しました。

　内部不正のリスクはあらゆる企業に存在しますが、その対策には多くの困難が伴います。外部の攻撃者の悪意ある行動を見抜くことはできても、信頼できるユーザーの不正はなかなか見抜けないのが実情です。内部関係者によるインシデントは、悪意によるもの以外にも過失やミスによるものなどさまざまありますが、対象は従業員だけではありません。契約社員あるいは協力企業の社員などにも同じセキュリティ・リスクが存在するため、対処が必要です。

　アナリストでディレクターの矢野 薫（https://www.gartner.co.jp/ja/research/expert-bio/kaoru_yano）は次のように述べています。「リモートワークの開始などで企業のIT環境自体が混乱したことにより、内部不正対策の優先度は一時的に低下していましたが、これからのデジタル時代では、ビジネスの変化とそのスピードに追随できる内部不正対策を目指して、これまでの対策を再考する必要があります」

　セキュリティ/リスク・マネジメントのリーダー（https://www.gartner.co.jp/ja/insights/leadership-vision-for-security-and-risk-management?utm_source=press-release&utm_medium=promotion&utm_campaign=press-release-20220706&utm_term=hubpage）が、内部不正対策を再考する際に重視すべき3つのポイントは、以下になります。

■スピードへの対処

　これからのビジネス環境では、ITおよびそれを使うユーザーは常に変化し、一定ではありません。こうした中での内部不正対策として、ユーザーのアイデンティティを基に情報の閲覧や送付などの許可/制限を動的に実施していくようなアクセス管理の重要性が急速に増しています。

　矢野は次のように述べています。「これまではユーザーの所属や役職単位でサーバやフォルダへのアクセス権を付与することが主流でした。しかし、このような対応では、アクセスする必要がないのに権限を付与していたり、本当にアクセス権が必要な人への付与が例外扱いになっていたりするなど、セキュリティと利便性の両面において、デジタル時代に求められるビジネスの俊敏性に応えられなくなってきました。ビジネス上のデータの流通を阻害せずにセキュアに保護するには、これまでの部門や職種よりも一段細かい単位で制御していく必要があります。つまり、ユーザーの業務範囲に着目し、どのファイルやデータへのアクセスが必要なのかを基準にセキュリティを制御していくやり方です。内部不正対策の観点で重要視すべきは、アクセス権の過不足をユーザー単位/データ単位で無くしておくことで、不正の機会を最小化することです。取り組む際には、IT部門だけではなく事業部門にも協力を依頼しながら組織的に進めていくことが重要です」

■見えないことへの対処

　ハイブリッド・ワークが積極的に検討されるようになり、ユーザーは必ずしも管理者の隣で仕事をするわけではなくなりました。つまり、内部不正対策の観点でのユーザーのモニタリングも、目視によるものから機械へと移行されることになります。これまでもユーザーのモニタリングは行われてきましたが、これからの内部不正対策で重要視すべきはイベント分析から進化させた「ビヘイビア分析」です。ログを見るだけではユーザーの正常な行動との見分けがつかないケースがありますが、ビヘイビア分析では、通常から逸脱するような行動パターンに着目し、疑うべきものを見えやすくします。なお、モニタリングの検討においては従業員のプライバシー侵害に抵触しないことを最優先に、常に念頭に置いて取り組むことが肝要です。