内部からの脅威:信頼している従業員がセキュリティリスクになる可能性

Security

情報セキュリティの脅威と聞くと、多くの経営者が外部からのサイバー攻撃やハッキングを想像するだろう。しかし、企業内で信頼されている従業員が意図せず、あるいは意図的にセキュリティリスクになる場合もあるのです。本記事では、従業員がどのようにセキュリティリスクになり得るのか、そしてそれに対してどのように対策を講じるべきかを分かりやすく解説します。

内部脅威とは何か?

内部脅威…つまり、情報が漏洩する可能性について言及しているのだが、「情報漏洩」についても中小企業では定義が曖昧なままで対策や管理をしようとする傾向が多く見られる。情報漏洩対策には少なくとも3つの定義付けが必要となる。これは別の記事で詳細を解説しているので、是非ご一読していただきたい。

中小企業で実行すべき情報漏洩対策に必要な3つの定義
情報漏洩対策を行う上で、やらなければならないことは多々あるのだが、自社にとって“情報漏洩”とは何を意味するのか...どのように定義していけばいいのかについて解説する。
blog.info-flag.com
2024.09.01

内部脅威の定義と実態

「内部脅威」とは、従業員や契約社員など、内部の人間による意図的または意図しない行為が原因で発生するセキュリティリスクのことを指します。特に小規模な企業では、信頼している従業員がいるためにこのリスクが見過ごされがちになる。しかし、近年の統計では、内部からの脅威が全体のセキュリティインシデントの多くを占めている。 

日本国内の中小企業においても、内部からのセキュリティ脅威は大きな問題となっており、2023年には「44%の企業がサイバー攻撃や内部犯行による被害を経験」しています。(パロアルトネットワークス株式会社の調査による)特に、従業員の意図しないミスや不正行為がリスクとして挙げられており、これはマルウェア感染や個人情報の漏洩といった形で顕著に現れている。製造業や地方の中小企業が特に被害を受けやすい状況が報告されている。

クラウド Watch のセキュリティーニュースより引用。

引用元:クラウド Watch

さらに、IPA(情報処理推進機構)の調査によると、中小企業はサイバーセキュリティ対策をある程度実施しているものの、「内部不正の防止や管理体制の整備が不十分」であることが指摘されている。特に、従業員規模が小さい企業では、リソース不足や専門知識の欠如が原因で、対策が遅れがちと言える。

中小企業のサイバー攻撃に対する実態調査について詳細レポートが開示されています。

引用元:IPA 情報処理推進機構「情報セキュリティ」

これらの統計からも、日本国内の中小企業経営者にとって、内部からの脅威は「対岸の火事」ではなく、現実的なリスクであることがわかる。

ここでは、意図的なケース(悪意のある行動)と、意図しないケース(うっかりミスや知識不足による行動)の2種類に分けて説明します。

信頼している従業員がリスクになる原因

意図せずに起こるセキュリティ事故

多くの場合、従業員はに悪意がなくてもセキュリティリスクを引き起こすことがある。例えば、以下のような状況がある。

・不注意によるデータ漏洩:パスワードを簡単なものにしてしまったり、メモに書き留めておくことが原因で、悪意のある第三者に情報が漏れる。

・フィッシング詐欺への引っかかり:従業員が偽のメールにだまされ、ログイン情報を入力してしまうケースも頻発している。

・私用デバイスの使用:仕事用のデータを個人のスマートフォンやパソコンで扱うことで、セキュリティ対策が十分でない端末からデータが漏洩する危険がある。

「報・連・相」で防げる事案もある

フィッシング被害の事例として、取引先を装ったメールに「振込先が変更になったので、こちらの口座へ…」という内容が書かれており、何も疑わずに経理担当者は変更された口座に数億円を振り込んでしまったのだ。数億円を、直接確認もせずにメール1本を鵜呑みにして作業をした結果である。金額の大きさによって行動を変えるというのは適切ではないが、数億円…これだけの大きな金額であれば、間違いがないかどうか、直接電話で確認するなどの行為があれば防げた事案である。

サイバー… フィッシング…ランサムウェア…等々…日常的に馴染みのない言葉で表現されることが多いセキュリティの脅威は、どこか自分の身の回りのことに直結するものではないと潜在的に思われているのかもしれない…テクニカルな対策ではなく、ちょっとした確認や相談…何か日常と違うことがあれば疑ってみるという認識を持つことで被害を防ぐことはできるのだ。

意図的に起こるセキュリティ事故

一方で、従業員が意図的に情報を盗む場合もある。これは「インサイダー脅威」とも呼ばれ、次のような状況が考えられる。

・退職を考えている従業員が、会社のデータや顧客情報を持ち出し、競合他社に売却する。

・不満を持っている従業員が、報復行為としてシステムにアクセスし、データを削除したり、損害を与える。

こうした行為は企業にとって致命的なダメージを与える可能性がある。

内部脅威に対する効果的な対策

教育と意識向上が最も重要

従業員の無知や不注意を防ぐために、まず行うべきは「セキュリティに関する教育」(教育というよりも認知してもらうという認識で問題ない)だ。定期的にセキュリティトレーニングを実施し、フィッシングメールやパスワード管理の重要性について周知させることで、多くのリスクは事前に回避できる。ITに関する専門知識がない従業員でも理解できるように、実例を交えた説明が効果的である。

アクセス権限の管理

すべての従業員がすべてのデータにアクセスできる状態はリスクが高すぎる。そこで、“最小限の権限のみを付与する「最小権限の原則」”を導入しよう。これにより、必要以上に情報に触れる機会が減り、リスクが軽減される。また、特定のデータにアクセスした履歴を記録することも有効である。

技術的な対策:多要素認証と暗号化

技術的な対策として、「多要素認証(MFA)」の導入が効果的だ。これは、ログイン時にパスワードだけでなく、スマートフォンなどのデバイスによる確認も必要とする仕組みで、不正アクセスを防ぐ手段の一つである。

パスワードの危険性とその解決策:二要素認証を使う理由
「パスワードさえしっかり設定すれば大丈夫」と思っている方は要注意だ。実は、パスワードだけでは、あなたの大切なアカウントが乗っ取られるリスクがあるのだ。
blog.info-flag.com
2024.09.10

また、重要なデータは「暗号化」することで、万が一データが漏洩しても、そのデータが外部に解読されるリスクを低減させることができる。

まぁ…ここまでが一般的というか、確かにそうだよな…と、誰もが受け入れやすい対策であろう。ただ、このブログは「IT・セキュリティの真実を語る」というコンセプトなので、本質的かつ根本的な対策についても言及する。

【真実!】内部脅威に対する本質的な対策

意図せず起こるセキュリティは技術的な対策や教育で発生頻度を軽減することはできるであろう。だが、どこかで限界もあることを知っておくべきだ。人間のうっかりミスを完全に(100%)撲滅するような対策を講じるのは難しい…できない!とは、言わないが業務の関係上、どこかで対策の限界があり、対応している要員に気を付けてやってもらうということがあると考える。

中小企業の経営者として考慮しておくべきことは、意図的に…つまり、従業員が悪意を持って情報を持ち出したり、漏洩させてしまうことへの対策だ。

従業員への待遇評価(自己・他己)じ

自分は経営者として従業員に最善を尽くしている…そう自己評価があったとしても、現実は違うのかもしれない。「他己評価」という視点を持ち、客観視しながら従業員を向き合う必要がある。うちの会社には、待遇への不満から情報を盗み出す従業員なんていない。と、信じ切ってしまうこともリスクになる。

従業員への信頼は重要だが、過信は禁物である。

・自己:自分→自分

・他己:他人(従業員)→自分

責任と罰則について周知徹底する

教育のベースとなるものは、ほとんどが「やってはいけないこと」を網羅してている。「もし、やってしまったら…」という観点で、罰則についても言及し従業員の理解を求めることもするのだろうが、ここは厳しく、具体的に伝える必要がある。就業規則においても、例えば…

上司
上司

遅刻をするな!時間厳守で信頼を得られるように行動しろ!

部下
部下

…もし、遅刻したらどうなるんでしょうか?

上司
上司

給与から遅刻分が減給されることになる。

部下
部下

それは、いくらでしょうか?

上司
上司

遅刻した時間によって変わるんだ。計算式は…

….等々のやりとりが、私の経験からも想定できるのだが、ここで従業員に明確に遅刻するとどうなるかを伝えるには、事例を言うべきである。過去に、**君という従業員がいて、遅刻癖があり月の半分程度、遅刻をしてしまって、結果として、月給が30%減となった事例がある。もっとひどい社員は、自己都合の退職をすることになった(実質的には解雇みたいなもんだけど…)など、実例として伝えなければ、どこか他人事であり我が事として認識しない。

退職時の情報の持ち出し、漏洩についても同様の説明をしておくべきだ。事例がなければ、他社の事例(事件)から引用してもいい。うちの会社も同様の対応をする方針なので、大きな負担を被ることになる。ということを認識させるべきなのだ。罰則のことを全面的に伝えるのは、気持ちの良いもんではないが…顧客情報、機密情報の管理責任者である経営者は、実効性のある対策としてやらなければならない。自分の気持ちは脇に置いて、やるべきことをやる。それが経営責任である。

リスク管理のためのプロセス構築

セキュリティポリシーの策定

中小企業でも、「セキュリティポリシー」を策定することが重要…いや、必須と言っていいだろう。このポリシーには、従業員がどのようにデータを扱うべきか、セキュリティに違反した場合の対処法などを明記する。全従業員が理解しやすい内容にし、存在することを周知し「知らなかった…」と、言われないようにしておくことも合わせて重要である。

セキュリティポリシーは、真実で言及した罰則も含めて明確に定義づけをし、明記しないといけない。また、客観性が必要となる。自己都合ではダメ。実効性があって、法的な根拠に基づくものを策定するには、専門家に依頼するべきだ。

いくら厳しい罰則を記載しても法的根拠がないことを並べ立ててもそれは、なんの効力も意味もない文字の羅列でしかなくなってしまう。

ITコンプライアンスの徹底 セキュリティ対策強化はその一部として実装する
セキュリティ対策を強化するきっかけは、増員、拠点が増える、上場を目指している、小規模なセキュリティインシデントが発生した、同業他社がサイバー攻撃の被害にあった...など、様々な理由があるだろう。ただ、セキュリティ対策強化として検討すると担当...
blog.info-flag.com
2024.08.24

定期的なリスク評価と改善

内部からの脅威は、従業員の状態や組織の変化によって常に変動します。そのため、「定期的にリスク評価」を行い、必要に応じてセキュリティ対策を見直すことが求められる。定期的なセキュリティ監査や脅威シミュレーションを実施することで、潜在的なリスクを発見し、対策を強化することができる。

上記はそれはそれでいいのだが、「待遇評価」…これも重要だ。

業績とも関連することだが、経営者にとって大きな仕事の一つであり自分にしかできないことと自認し徹底しなければリスク管理とはならない。

まとめ

内部の脅威は、外部からの攻撃と同様に無視できないリスクとなる。特に、信頼している従業員が意図せずにセキュリティの弱点を作り出すケースが多く存在する。これに対して、教育やアクセス権限の管理、技術的な対策を適切に行うことで、企業の情報を守ることができる。従業員との信頼関係を大切にしつつ、企業全体でセキュリティ意識を高め、リスクを未然に防ぐ努力を続けることが重要である。

真実のまとめ

情報セキュリティ対策が経営課題であるという本質的な理由がご理解いただけたのではないか。外部の脅威に対し、技術論から適切な対策を講じることに注力するとITに詳しい者がいないとできないことになってしまうが、本質的な情報管理をするという意味では技術論ではなく、従業員のマネジメント論がセキュリティ対策に直結するということをよく理解しておくべきである。

本ブログも「セキュリティ」と「マネジメント」の二本柱で構成しているのも、2つの視点が重要であるというアピールではなく、熟考し実効性のある対策とは何かを突き詰めていくと、結果的にこの2つが両輪であり、どちらか一方で満足(安心)できる対策を講じることはできないという結論に行き着くのだ。

最後までお付き合いいただきありがとうございました。
また、お会いしましょ。