セキュリティ担当者だけでなく、経営層にとっても頭の痛い問題が内部不正だ。サイバー攻撃は社外の人から行われるケースがほとんどだが、内部不正は文字通り社内関係者によって行われる。通常のサイバー攻撃とは異なり、攻撃の実行者が最初から社内にいるから非常に防ぎにくいということは容易に想像できるだろう。
また、権限を持っているユーザーが内部不正を働くような場合、さらに対処が難しくなる。企業におけるセキュリティ対策は、いわば身内である従業員は裏切らないだろうという前提で設計されている場合が多く、従業員のモチベーションがいったん内部不正に傾いてしまうとどうしようもないケースが多く散見される。しかも、サイバー攻撃のように第三者が攻撃する状況とは異なり、自社の従業員が不正を働くという形になる。信用の失墜という点やそれに起因する将来的な機会損失という点では、サイバー攻撃よりも考慮すべきリスクであると言える。
最終回となる今回は、経営層から「内部不正を防ぎたい」と言われた場合のコミュニケーションについて考える。
まさかの内部不正が発生
今回のケーススタディーは、セキュリティ対策のレベルを高めて一安心している経営層とセキュリティ担当者に最悪のニュースが届いたというものである。
セキュリティ担当者:当社の顧客管理システムもようやく更新できました。サイバー攻撃や不正侵入へのセキュリティ対策も数多く要件に入れ込んであります。これまでのシステムよりも頑丈になりました。
経営層:そうか。最近のサイバー攻撃は、システムがインターネットから切り離されていたとしてもアタックしてくると聞くからな。盤石のセキュリティ対策で備えたいところだ。
セキュリティ担当者:はい、以前のシステムでサイバー攻撃を受けた形跡がありました。大事はなかったのですが、セキュリティ対策のレベルを上げたいと考えていました。これで安心です。
(数カ月後)
セキュリティ担当者:大変です。当社の顧客管理システムから顧客の個人情報が盗まれてしまいました。既に個人情報を売買する業者へ売られており、その情報を利用したダイレクトメールが顧客に届いているようです。
経営層:なんだと。話が違うじゃないか。先日の話では、サイバー攻撃に対するセキュリティ対策のレベルを上げたはずじゃなかったのか?
セキュリティ担当者:それが、情報システム部で顧客管理システムを管理しているAさんが、データベースの顧客情報をすべてUSBメモリーへコピーしていたようです。管理者であるAさんは、顧客情報システムにおいて最高の権限を持っています。この状況で管理者が悪意を持ってしまってはどうにも防ぎようがありません。
経営層:よし分かった。このままでは、再び同じ問題が起こる可能性がある。内部不正を防ぐための対策をすぐに考えてくれ。
このケースは、顧客管理システムに対して何でもできてしまう管理者のAさんが悪意を持っているという状況だ。内部不正対策の多くは、このように正当な権限を持っているユーザーが悪意を持った場合の対処を考えなければならない。
Aさんが悪意を持ってしまえばAさんは何でもできてしまう。また、仮に攻撃者が管理者のIDやパスワードを入手したとすると、その管理者を悪用していつでも何時間でも侵入する事ができてしまう。「必要以上の権限」「必要以上の時間」が管理者に与えられてしまっているわけだ。このことが内部不正を容易にしてしまっている大きな要因となっている。
