チェックリスト式の内部不正対策から脱却せよますます高まるコンプライアンス水準に
企業が追いつく鍵は
「テクノロジー」の活用

 最近は、ニュースメディアで従業員による内部不正やハラスメントなどの話題が後を絶たない。こうした事件が発覚すると、企業の信頼やブランドに傷が付くだけではなく、訴訟問題に発展する恐れもあり、事業に与える影響は計り知れない。内部不正に早期に気付き、対処するためには何が必要だろうか――MicrosoftでChief Security Advisorを務める花村実氏と日本マイクロソフトの山本築氏にそのヒントを尋ねた。(文中敬称略)

厳しい目が向けられるコンプライアンス違反

--従業員が企業秘密を持って競合他社に転職したり、ハラスメントに該当する言動が明らかになって社会的責任を問われたりと、内部不正やコンプライアンスに反する動きが目立ちます。

花村実氏
花村実氏

花村:公認不正検査士として社外で活動するほか、お客さまと話す機会も多いのですが、内部情報の不正な持ち出しなどのコンプライアンス違反は昔から度々起きていました。問題は、それをきちんと可視化してなかったことです。

 ただ、不正は全般的に増加傾向にあるように思います。背景には人材の流動化があります。昔は「秘密を墓場まで持っていく」なんて言葉があったように、同じ会社にずっと勤め続けることが一般的でしたが、今ではそんなことはありません。社会も変化し、企業には透明性を保ち、コンプライアンスを順守していくことが求められる中、女性差別やハラスメントといった問題にも敏感になるでしょう。

--テレワークも内部不正を加速させる要因の1つになっているでしょうか。

山本築氏
山本築氏

花村:そうですね。会社に来て仕事をする前提だと、誰かしらの目があり「見られている」という意識があったと思います。しかし、リモートでは物理的に見張ることはできません。密閉された空間で不正が行こり得るという点が大きな違いだと思います。

山本:内部不正には、「機会」「動機」「正当化」という3つの要素があると言われます。これに照らすと、物理的に離れた場所に行った瞬間に、「機会」が顕在化してしまいます。ですから、会社としてそういった要素をいかに未然に防ぐかが求められ始めていると思います。

--また、最近では下請けや孫請けを介した情報漏えいのように、サプライチェーンのリスクも浮上しています。

花村:これまで委託業者の管理は、「チェックシートに○を付けてもらえばOK」といったやり方が主流でしたが、今後はそれだけでは難しいでしょう。例えば、Azure ADのようなID管理基盤を用いて認証・認可を経てゼロトラストの考え方で制御するといった具合に、きちんとテクノロジーを活用して可視化し、ガバナンスを効かせなければいけないと思います。

--その他に注意すべき点はありますか。

花村:視点をもう少し広げると、「データが不正にどこかへ保存されてようとしている」といった兆候が把握された時点で、それが外部のサイバー攻撃者によるものか、内部関係者による不正行為なのかが分かりません。ですから、「自分たちは内部不正しか見ていない」や、「こちらは外部からの攻撃しか監視していない」といった縦割りの対応では、企業として適切なリスク管理体制とは言えないと思います。

山本:セキュリティの世界でもよく「情報漏えいはなくならない」「サイバー攻撃はなくならない」と言われます。コンプライアンスの世界も同じです。外部の有識者は「コンプライアンス違反はなくならない」と言います。ですから、同じフレームワークに基づいて、情報を保護するだけではなく、脅威をいかに素早く検知し、対処するかに力点を移していくべきだと思います。

きめ細かく制御し、生産性と両立可能な
柔軟性あるテクノロジーが登場

--この問題は広がる一方ですが、どこからどのように解決していけばいいでしょうか。

山本:明るい材料はテクノロジーが追いついてきたことです。以前は、コンプライアンスの順守状況をチェックリストに書き出し、確認して終わりでしたが、今では、コンプライアンスやハラスメントに抵触するやりとりを検知するテクノロジーがあり、機械学習などを利用してその兆候を分析するクラウド型の仕組みも充実してきました。こうしたテクノロジーをどのように適応していくかというフェーズに入ってきました。

--これまでも内部監査を支援するログ収集ツールなどは存在していましたが、どう違うのでしょうか。

山本:今までは、「USBメモリーは全部ブロックする」といった具合に、ゼロかイチかで規制していました。テクノロジーがなく、そうせざるを得なかったのです。しかし、今ではテクノロジーの進化によって、「私物のUSBメモリーに機密情報のファイルをコピー&ペーストしようとする行為をブロックする」といった具合に、細かな粒度で状況を可視化し、コンプライアンス違反を検知して、対処できるようになっています。それを前提に、あらためて取り組みを見直すべき時に来ていると思います。ここで大事なのは生産性を損なわないことです。

花村:同感です。セキュリティやコンプライアンスは、昔から生産性とトレードオフの関係にあると言われ続けていましたが、今は両立できる柔軟なやり方が生まれています。そうしたテクノロジーを活用し、従業員がそれと意識しなくても守れる体制を作ることが、企業が競争に生き残る上でも大事だと思います。

 先ほどテレワークの話がありましたが、在宅勤務などでプライバシーに関わることに干渉したり、威圧的や性的な言動をしたりする「リモートハラスメント」の問題も出てきています。オンライン会議の時に変な会話が出ても、テクノロジーを活用して可視化すれば、従業員側は「守られている」と安心でき、生産性やモラルを向上できると思います。きちんとテクノロジーを活用すればコンプライアンスも生産性も上がる――そんな世界を実現できることが大事なポイントでしょう。

山本:仕事と私生活の区別があいまいという課題もあるかもしれません。土日も従業員を見張るのはおかしな話ですが、会社のPCを使って働いている以上、そこはきちんと見守られていることが安心感につながると思います。例えば、マイクロソフトでは、従業員のデータがどのように扱われているかを明示したドキュメントを作成し、ウェブサイトでも公開しています。なぜこうしているかというと、われわれがのびのびと仕事をしてパフォーマンスを最大化するためです。

ユーザー行動からリスクを算出し、
内部不正を検出するMicrosoft 365 E5の機能

--具体的にはどのようなテクノロジーを活用した製品がありますか。

山本:「Microsoft 365 E5」には、内部不正のリスクに備える幾つかのテクノロジーが組み込まれています。例えば、Teamsをはじめとするさまざまなコミュニケーションツールでの不適切な会話を検出する「Communication Compliance」、法規制上、直接会話をすることが禁じられているユーザー同士の会話をポリシーで禁止する「Infotmation Barriers」といった機能があり、コミュニケーションスタイルに合わせて、不適切なコミュニケーションを検出したり、ブロックしたりできるようになっています。

 また、Microsoft 365とSharepoint、OneDriveなどさまざまなサービスやアプリケーション、あるいはUSBメモリーなどのデバイスとの間で行われる機密情報のやりとりがルールに沿って行われているかどうかを確認し、違反を検知していく「Microsoft 365 DLP」もあります。

 さらに、ユーザーそれぞれの行動履歴を人工知能(AI)で分析し、リスクをスコアリングしてアラートを出していくのが「Insider Risk Management(IRM)」です。「Microsoft Defender for Endpoint」のテクノロジーも組み合わせ、デバイス上の動作も把握しながら、不正な行為を検知できます。

--いわゆるDLP(データ漏えい防止:Data Loss Prevention)と呼ばれるツール以上のことができるのでしょうか。

山本:例えば、メールについてはある程度セキュリティやコンプライアンスが考慮されていますが、Teamsになった途端、その当たりの検討が不十分なまま「とりあえず使おう」となっているケースが多くありますよね。本当にそれで良いか、見直す必要があると思います。

 Communication Complianceでは、チャットでマイナンバー情報のような個人情報を入力しようとしたときにクラウド側のMicrosoft 365 DLPがそれを検知し、ポリシーに基づいてブロックしたり、ログを残した上で許可したりするといった対応ができます。ハラスメントにつながる恐れのある会話はもちろん、カルテルや品質偽造といった法律に反するやりとりなど、業界ごとにカスタマイズした形で検知したいというニーズに対応します。

 しかもこれはWindowsだけ、Teamsだけに特化したものではありません。サードパーティーのコミュニケーションツールともコネクター経由で連携し、特定のツールに依存することなく検知できます。お客さまの環境やデータがいろいろなところに分散する中、マイクロソフトのソリューションだけでDLPを実現しても意味はありません。連携しながら1つのポリシーで把握していくことが重要だと考えています。

--こうしたソリューションを導入する際のポイントは何でしょうか。

花村:監視できる範囲が広がるにつれて、アラートの数が増大しています。多数のアラートが上がってくれば、その優先順位を付け、確認する作業にかかる負荷も高まります。そこをいかに効率よく、少ない人数で対応することが大事です。

 もう1つ、アプリケーションがビジネスのニーズに合わせて変わっていくのと同じように、企業を取り巻く法規制、ルールもどんどん変わっていくでしょう。変化していく規制にどう対応していくかを考えることも重要で、それにはやはり、ある程度システマティックにツールを使いこなしていくことが重要だと思います。

山本:IRMでは、機械学習を活用してリスクレベルを数値化できます。いろいろな活動が積み重なっていくと、どんどんスコアが高くなる仕組みです。ですから、例えば、「20点の人はしばらく様子見でもいいが、80点の人にはきちんと対応しなければいけない」といった判断を下しやすくなります。実際に導入したお客さまからは、「以前は1日に70~80件ものアラートを確認しなければならず、それだけで一日終わっていた。ツールを入れることによってチェックすべきものを減らし、何を優先してハンドリングすべきかを議論できるようになり、本質的な業務に集中できるようになった」というフィードバックをいただいています。

花村:バイアスがかからないように匿名化して先入観を持たずに調査できる機能や、なぜアラートが出たのかを示す詳細な情報なども得られます。こうしたツールの話をすると、過剰に検知(過検知)されてしまうことを気にされるお客さまが非常に多いのですが、私としては過検知を心配する前に、まず「情報がどこにあるのか」「どんな風に扱われているのか」を把握し、追跡できる仕組みを整えることが大事ではないかと思います。

山本:日本企業はデジタル変革にしてもセキュリティにしても世界に比べて遅れ気味と言われますが、コンプライアンスに関する動きは海外と遜色がなく、むしろ早いように思います。特に経営層は、現状を知りたいというニーズが強く、こうした動きに敏感です。

テクノロジー活用で現状把握と改善のプロセスを構築せよ

--今後、企業が内部不正に対処していくには、テクノロジーのほかに何が必要でしょうか。

花村:やはりトップの意識が一番大事です。内部不正やコンプライアンスに限らず、企業としてリスクに備える体制が強く求められています。企業に課せられる規制当局への報告義務も厳しさを増しており、甘く見ていると大きなダメージを受けるでしょう。インシデントが起きた時に「実は体制ができていませんでした」という言い訳はもう通用しません。IT部門のみならず、法務、人事などにまたがった対応体制、報告できる体制の整備が求められると思います。

山本:経営者にとって、やはりガバナンスは重要な課題です。情報やシステムはどういう状況にあるのかをすぐにチェックできる体制が必要ですが、実はクラウドやテクノロジーを活用すれば、例えば「今のMicrosoft 365の設定は適切か」といったことをすぐにチェックできます。こうしたテクノロジーに会社の仕組みを適合させ、アップデートしていくことが大事だと思います。

花村:失敗しがちなのは、最初から完璧なものを作ろうとすることです。セキュリティもコンプライアンスもそうですが、動く標的であり、決して終わることのない取り組みです。テクノロジーを活用して現状を把握し、スコアリングし、それをベンチマークにして一歩一歩改善していくアプローチが重要でしょう。

提供:日本マイクロソフト株式会社
[PR]企画・制作 朝日インタラクティブ株式会社 営業部  掲載内容有効期限:2021年6月30日
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]