テレワーク推進で高まる内部不正のリスク
「人」
心理行動に焦点を当てた

情報漏えい対策とは

従業員による機密情報の持ち出しなど、内部不正のリスクが高まっている。企業にとって対策は急務である。エルテスの提供する内部脅威検知サービス「Internal Risk Intelligence(IRI)」は、多様なリスクシナリオと機械学習エンジンをベースに、機械と人(専門アナリスト)の2つの目で各種ログの相関分析を行い、従業員の不審な行動をあぶり出す。多くの企業から、内部不正発生の予兆検知を可能にするソリューションとして注目を浴びている。

年々高まる内部の従業員による情報漏えいリスク

株式会社エルテス リスクコンサルティング部 部長 國松 諒氏
株式会社エルテス
リスクコンサルティング部
部長
國松 諒
 情報漏えい対策と聞いて、真っ先に思い浮かべるのは、おそらくインターネットを経由したサイバー攻撃への対策だろう。だが、報道などからも明らかなように、脅威は外部からの攻撃だけとは限らない。内部の従業員による不正もまた、情報漏えいリスクの1つとなる。

 例えばIPA(情報処理推進機構)が発表している「情報セキュリティ10大脅威 2020 (組織編)」においても、「内部不正による情報漏えい」は一昨年の8位、昨年の5位から2位にランクアップしている。

 特に近年、日本企業においては旧来の終身雇用の文化は薄れ、より広範な人材を職場に受け入れるようになっている。「そうした中、日本企業がこれまで行ってきたリスク管理だけでは『内部不正』に対応できない状況がはっきりと顕在化しています」とエルテスの國松 諒氏は説明する。

専門家の知見と実際の不正パターンを反映した「リスクシナリオ」

 内部不正への対応を支援するサービスとして、最近、市場における存在感を急速に高めているのがエルテスの「Internal Risk Intelligence(IRI)」である。

 IRIは、IT資産管理システムや業務パッケージ、クラウドサービスなどが収集するログ、Web閲覧やメール送受信の履歴、あるいは勤怠情報などから、ユーザーの行動を解析し、企業内での異常行動を検知するというものだ。

 SIEMをはじめ、こうした各種ログ情報をベースに内部を可視化する製品・サービス自体はほかにもあるが、IRIには、それらとは異なる際立った特徴がある。ログインエラーが大量に発生している、トラフィックが急増しているといったシステム的に不審な挙動を検知・通知するのではなく、一連のログの相関からユーザーがどんな行動をし、そこにどんなリスクがあるのかを検知するという点だ。

株式会社エルテス データインテリジェンス部 リスクインテリジェンスグループ マネジャー 川下 巧氏
株式会社エルテス
データインテリジェンス部
リスクインテリジェンスグループ
マネジャー
川下 巧
 「当社が独自にまとめた不正な行動パターン『リスクシナリオ』をベースに、ユーザーの属性やログデータを相関分析して、不正が発生する『予兆』や『可能性』を検知し、不正を未然に防ぐことを目的としています」とエルテスの川下 巧氏は紹介する。

 例えば、ある従業員が勤怠データの上では会社にいないはずの時間帯に、PCを操作して重要情報にアクセスしているという状況は明らかな不正と判断できるが、アクセスが勤務時間内、かつ適正な権限を付与されているユーザーだった場合、この行動を不正と判断するのは困難だ。

 しかし、そのユーザーが頻繁に転職サイトや競合他社の採用情報にアクセスしたり、直接メールをやりとりしたりしており、普段よりもデータにアクセスする回数が増えているとしたらどうだろう。転職と同時に情報の持ち出しを企んでいるという可能性が浮上してくるはずだ。

 IRIには、内部不正に至るこうした様々なストーリーを細かく定義した膨大なリスクシナリオが用意されている。「IRIのサービス立ち上げに際して、世の中で起こっている内部不正事例を検証するとともに、この分野に強い弁護士にヒアリングするなどしながらリスクシナリオを構築しました。その後も世の中で起こった内部不正にかかわる報告書や、我々が実際にサービスを提供する中で遭遇した事例なども踏まえて、随時、シナリオの追加や内容のブラッシュアップを行っています」と川下氏は明かす。

機械とアナリストの2つの目で分析と評価を実施

 IRIの利用を開始するには、任意のログを分析システムに送信する仕組みを設置することになる。「ログを自動集約し、それを暗号化転送するための中継サーバーを設置していただくことになりますが、中継サーバーのハードウエア自体は決して高スペックのマシンである必要はありません。サーバーをご用意いただければ、当社側でログの集約とデータ転送の仕組みを実装します。作業自体は半日程度で完了します」と國松氏は語る。

 ログデータの転送は1日1回。原則的には夜間に行われる。それを受け取った分析システムは、機械学習エンジンの振る舞い検知機能によって分析を実施。さらに専門のアナリストが「人の目」によって、行動の前後関係やユーザーの属性などを再検証し、リスク評価を行う。

 「分析の対象はあくまでも『人』ですから、心理状態など一律に定量化できない要素もあるからです。また、アナリストを介在させることは、機械学習による『過検知』を防止することにもつながります」と川下氏は説明する。  機械学習とアナリストの2つの目による分析と評価を経て、リスクと認識された行動については、翌日中にユーザーごとのポータルに反映される(画面)。ポータルは一目で内部リスクを把握できるよう工夫されており、緊急度の高いリスクが何件あるか、どんなリスクが顕在化しており、そのスコアはどれくらいか、などが整理して表示される。
画面 IRIのポータルの画面イメージ 画面IRIのポータルの画面イメージ 分析に基づいてユーザーをスコアリングし、リスクが高いユーザーをダッシュボード上にリストアップ。各人の具体的な行動内容をドリルダウンによりチェックすることも可能だ
 「ポータルを通じた速報以外にも、アナリストが月に1回お客様を訪問して過去1カ月の分析結果のステータスを報告。検出されたリスクの内容を説明して、対処方法を相談したりします」と川下氏。また、月次の報告を待たずに、分析結果についてアナリストに確認したい場合は、ポータルを通じて、検知したリスクごとのケース管理を行い、そこでアナリストとやりとりすることもできる。

 分析可能なログのデータソースについては、主要な資産管理ツールやセキュリティ対策ツールのほか、Office 365や、G Suiteといったクラウドサービスなど、幅広い製品・サービスについて利用実績がある。提供元のエルテスは、IRIでの対応実績のあるなしにかかわらず、ユーザーのニーズに応じて柔軟に対応しているという。

 このように、ほかに例のない独自サービスにより内部不正対策のニーズに応えているIRIだが、月額40万円(税抜)〜という低廉なコストで利用できることもあり、企業規模や業種、業態を問わず、既に多くのユーザーに採用されている。「大企業はもちろん、中小企業のお客様や製造業の開発部門、不動産業の営業部門など、部門単位でご利用いただいているお客様もいます。ログはあるものの、人手やスキルが十分ではなく有効に活用できていないというIT部門やセキュリティ担当者様からの引き合いも多くいただいています」と國松氏は語る。

 冒頭でも述べたように、内部不正のリスクは確実に高まっている。人の行動を可視化して、不正の兆候を検知する。新しいアプローチの対策となるIRIへの注目は、今後、さらに高まりそうだ。
お問い合わせ
株式会社エルテス リスクコンサルティング部
URL:https://eltes-solution.jp/
TEL:03-6550-9281