本記事では、企業が社内に潜む脅威に相対するうえで準備しておくべき防衛策について解説する。
われわれは、内部関係者によるリスクは多種多様であるということを忘れ、アクセス権限を持つ従業員によって不正行為がなされ、会社に悪影響がおよぶ事例ばかりだと思い込みがちだ。こういった思い込みはある意味で正しいが、この観点からリスク管理のための情報が十分に得られるとは言い難い。われわれは、どのような脅威が存在するのかや、それに関連する職務、そして従業員やベンダーなどがポリシーや規則あるいは倫理にのっとっていない際に現れる典型的な兆候を、しっかりと見極めなければならない。こういった情報をもとにして管理面や技術面、物理面での統制を実行することで、内部関係者によって引き起こされるリスクを低減できるようになる。
今回の記事では「The CERT Guide to Insider Threats: How to Prevent, Detect, and Respond to Information Technology Crimes」(Cappelli、Moore、Trzeciak共著)とThe CERT Insider Threat Centerで用いられている定義に従い、内部関係者による脅威を3つに分類している。なお、次回の記事では内部関係者によって計画中、あるいは実行中や実行済みの脅威を検出、隔離、対処するために推奨される手法について考察する。
内部関係者による脅威とは
内部関係者による脅威を定義するにはまず、誰が、そして何が関係しているのかを理解する必要がある。内部関係者による脅威は、知的財産の窃盗行為と詐欺行為、情報リソースに対する破壊行為という3つのカテゴリに大別できる。CERTの調査により、一般的にはカテゴリごとに業務上の特定の役割が関与してくることが分かっている(表Aを参照)。
| 目的 | 内部関係者 |
|---|---|
| 知的財産の窃盗行為 | 創作者 |
| 詐欺行為 | マネジメント層以外、IT系従業員以外 |
| 情報リソースに対する 破壊行為 |
たいていの場合は、管理者権限を保持したIT要員 |
