デジタル化に伴って高まる新たなリスク退職時の営業秘密持ち出しはデータ分析で把握

 近年、業務の効率やビジネスの価値を高めるためにデジタル化に取り組む企業が増えているが、それとともに、デジタル時代特有のリスクも高まってきた。企業はこうしたリスクにどう備え、対処すべきだろうか。長年、炎上をはじめとするデジタル特有のリスクへの対策ソリューションを提供してきた株式会社エルテスソリューション本部 リスクインテリジェンス部長の川下巧氏に尋ねた。

株式会社エルテスソリューション本部 リスクインテリジェンス部長の川下巧氏
株式会社エルテス
ソリューション本部 リスクインテリジェンス部長
川下巧氏

デジタル化に伴って高まる新たなリスク、情報漏えいによる甚大な損害も

デジタル化の中で企業は今、どんな課題に直面しているでしょうか。

川下氏

 今、多くの企業がニューノーマルの中でデジタル化に取り組み、クラウドサービスをはじめとするさまざまな技術を生かして業務を効率化したり、ビジネスの価値自体を高めていくデジタルトランスフォーメーション(DX)に取り組んだりしています。

 一方でデジタル化はグローバル競争も激化させています。また近年の地政学的な緊張の高まりも相まって、経済安全保障の必要性も指摘されるようになりました。その中で、「リスク」が顕在化する可能性も高まっていますが、対策ができている企業は非常に少ないように思います。

 例えば、自宅で業務を行う場合、セキュリティが不十分なWi-Fiネットワークを使ってしまい、コンピューターウイルスに感染する恐れがあります。また社内とは異なり、他人の目が行き届きにくいため、営業秘密や個人情報に該当する重要なデータを持ち出したり、個人のメールアドレスに転送したりして、情報漏えいにつながる恐れもあります。これらがデジタル化によって新たに発生し得るリスクになると、エルテスでは考えています。

 企業はこうしたリスクに対し、今までのような「守り」のセキュリティではなく、デジタル化を進めていくための「攻め」のセキュリティという観点が必要です。ビジネスのロードマップの中にセキュリティを組み入れていくべきでしょう。

なぜビジネスのロードマップにセキュリティの観点が入っていないのでしょうか。

川下氏

 多くの企業でセキュリティの課題が情報システムの課題であり、経営課題と認識されるに至っていないというのが原因だと考えています。「今のところ事故は起きていないし、これからも大丈夫だろう」とデジタル化の対応を推進していく中で、想定外の事故により、混乱が生じてしまうことも多いようです。

こうしたデジタルリスクを放置すると、どのような事態が起こり得るのでしょうか?

川下氏

 例えば営業機密が競合他社へ漏えいした場合、大きく2つ影響があると思います。1つは、ビジネスの競争力の低下です。顧客情報やノウハウが漏れてしまうと自社の競合優位性が失われてしまいます。もう1つは多大な損失です。収益機会の損失はもちろん、信頼の低下によって顧客離れにつながったり、場合によっては損害賠償を求められたりする恐れがあります。そうなると、再発防止のためのコストもかかってくるでしょう。

 より大きな視点で捉えれば、日本の代表的な産業である製造業自体に影響が生じる恐れもあります。技術情報が外国に持ち出されることによって、日本のもの作りの強さが失われ、国としての競争力に影響する恐れがあります。

 また、内部関係者による情報の持ち出しに気付くのが難しいという課題もあります。IBMのレポート※1によると、情報の持ち出しが発生してから発覚するまでに平均280日を要するとされています。これだけの長期間にわたって被害が拡大しつつあるにもかかわらず、情報の持ち出しに気付けない企業が多いのが実態です。

※1 2020年情報漏えい時に発生するコストに関する調査(IBMSecurity)

炎上対応で蓄積した知見を生かし、ログデータからリスクを検知

デジタルリスクへの対策として、よく「人の教育」が挙げられますが、それでは不十分なのでしょうか?

川下氏

 確かに教育は重要ですが、実際に事件として報じられるケースの大半では、人が意図的に、悪意を持って情報を持ち出しています。ルール違反や法律違反であることを重々承知の上で持ち出しているわけですから、教育だけでクリティカルな事例を防げるかというと疑問が残ります。

具体的にはどのようなソリューションがありますか?

川下氏

 今、セキュリティ市場では「ゼロトラスト」と呼ばれる概念が注目されています。あらゆる行動や操作を信頼しないという前提に立ったセキュリティ対策の考え方です。何か「この方法の対策を実施すれば大丈夫」という類いのものではなく、一つ一つ対策を地道に積み重ねていくしかありません。このゼロトラストを構成する要素の一つが「ログ解析」による振る舞いの監視です。

エルテスでもそのためのソリューションを提供しています。

川下氏

 エルテスでは、「Internal Risk Intelligence(IRI)」と呼ぶ、さまざまなログデータを活用して、リスクを検知するサービスを提供しています。お客さまの環境で活用されているさまざまなツール、例えばPC操作ログの監視ツールやIT資産管理ツールといったエンドポイントの対策製品、さらにはMicrosoft 365やGoogle Workspaceといったクラウドサービスの監視ログを集約して、「誰がどのファイルに対してどのような操作を行ったか」といったファイル操作の履歴、ウェブサイトへのアクセス履歴やメールの送受信履歴など、ユーザーの行動に関するさまざまなログを分析します。エンドポイントだけでは把握する範囲は限定されますが、ネットワークやリモートワークで利用が広がったクラウドサービスも含めて見ることができます。

IRIの活用によって、どのような効果が得られるのでしょうか?

川下氏

 IRIは、内部脅威のリスクを検知します。リスクには大きく2種類あり、1つは従業員や関係者、パートナーによる情報漏えいのリスクです。もう1つは、働き過ぎなどの労務管理の観点におけるリスクです。

 内部不正には、「動機・正当化・機会」の3つの要素があり、これを「不正のトライアングル」と呼びます。IRIはこのうち、会社を辞めたいと考えているかどうか、メンタルヘルスに不調を抱えていないかといった「動機」の有無をPCの操作履歴をはじめとするログから調査をします。

 実際のところ、これまでデータ分析に基づく対策をしていなかった企業においてIRIで調査をしてみると、何事もなくきれいな状態にあるケースはまずありません。営業秘密の持ち出しが起きていたり、意図せぬ穴ができていたりと、インシデントにつながる課題が何かしら見つかります。また先ほど申し上げた通り、内部不正の検知には平均280日かかるのが実情ですが、IRIを導入してベースとなる状態を把握すれば、基本的には30時間以内に危険性のある兆候を検出できます。

他にも内部不正対策をうたうものはありますが、それらとIRIの違いは何でしょうか?

川下氏

 IRIの特徴は、機械学習によって普段の振る舞いから逸脱した異常行動を検知するだけでなく、エルテスが蓄積してきた、過去に実際に起こった不正行動パターンを教師データにしてパターンマッチングを組み合わせ、不正を検知していくことです。既に1万種類以上のパターンを蓄積しており、これにより不正な行為を見つけ出していきます。

 もう1つの特徴は、システムによる分析だけに頼らず、経験の豊かなアナリストがさらに詳しい分析を行うことです。内部脅威の場合、システムだけの検知に任せてしまうと、ちょっと普段とは異なる業務をしただけでアラートが発生してしまいます。また、何を不正として検知したいかは企業によって異なるため、環境のカスタマイズが必要ですが、それにはやはりスキルが必要になります。

 そこでエルテスは、お客様ごとにアナリストを配置し、お客様の環境に沿った分析ができるようカスタマイズを支援します。月一回程度、定期的にミーティングを行い、チューニングを加えることで、過検知・誤検知を減らすことも行います。

 また、システムが発出したアラートをそのままお客様に通知するのではなく、アナリストが分析・評価して報告します。本当にリスクがあるのかどうか、あるとすればリスクの大きさはどのくらいで、どのようなリスクなのか、さらに、そのリスクを踏まえてどのような対応をすべきなのかを支援する運用サービスを組み合わせています。

ただデータを集めるだけでなく、データ分析に目を向け対策を

内部不正を見つけた後はどうすればいいでしょうか?

川下氏

 既に内部監査の体制などが整っている企業では担当部署などが対応されますが、そうではない企業も多いと思います。エルテスでは、リスクを検知した際に、単に「こんなアラートがありました」と事象を報告するだけでなく、そのアラートを踏まえて、誰が何をすべきか、どう対応すべきかを提言し、コンサルティングに近い形でサービスを提供していきます。専任の担当者や体制がない場合でも、エルテスがサポートしますので、お客様は最低限のリスク対応を実現できます。

なぜエルテスはそういった対策が可能なのでしょうか?

川下氏

 エルテスは、SNSの普及に伴って高まった新たなリスクへの対応を目的に創業しました。2013年頃に、いわゆる「バイトテロ」が社会的な問題として話題になりました。従業員がSNSに不適切な投稿を行ってしまい、インターネットなどで大きな炎上につながりました。これを踏まえ企業は、デジタル活用には、ビジネスに影響を与えるようなリスクがあることを認識するようになりました。

 背景には、組織の内側の視点と、「あの企業がこんなことをするなんて……」という外からの見られ方の間にギャップがあると思います。エルテスは多くの企業の炎上リスクを見て、対応を支援してきた経験に基づき、「こういう行動をしてしまうと炎上につながり、こんなリスクが生じます」とお伝えし、SNS炎上の初期対応だけでなく起こさないためのコンサルティングや研修などを幅広く提供しています。そうした中で、「どんな行動がリスクにつながるのか」という知見を蓄積してきました。

 エルテスの祖業はウェブのリスクモニタリングやSNS上の炎上対策ですが、それらは既に顕在化したリスクであり、火が燃え上がっている状態です。対策を提供する中で、そもそも火が燃え上がる前に何とかできないか、というご相談をいただくようになり、組織内部のログデータを分析していくIRIのサービスを構想しました。その意味では、「さまざまなデータを分析し、リスクを検知していく」という根底となる考え方は共通しており、問題を外側の環境から見つけるのか、内部を見るのかのという違いになるでしょう。

現時点ではログを収集するだけで、きちんと分析し、何が起きているのかまでは見ていない企業が多いように思います。

川下氏

 おっしゃるとおりです。ログデータを保管するだけで、解析できていない企業が非常に多いです。大企業でも3割程度、中小企業になると全体の1割にも満たない程度だと思います。ですので、まずデータを活用することに意識を向け、IRIを活用して意味のある対策、レベルの高い対策につなげていただきたいと思います。

提供:株式会社エルテス
[PR]企画・制作 朝日インタラクティブ株式会社 営業部  掲載内容有効期限:2023年6月30日
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]