2016.08.30(火)

情報漏えいを防ぐためスタッフらの行動を組み合わせて分析し内部不正を検知

製品・サービス・業界動向 業界動向

内部不正や情報漏洩というリスクに対し、企業や団体はどう防衛網を張り、ダメージをいかに最小限に抑えられるか……。2月初旬、リスク検知に特化したビッグデータ解析などを展開するエルテス(東京・新橋)の代表を務める菅原貴弘に、そのヒントを聞いた。

●内部要因や内部不正が多い

日本の企業や団体において、情報漏洩などによって受けた経済的被害のうち、82%が「内部要因」で、世界全体の56%に対し、「日本は諸外国に比べて内部不正の割合が高い」と同社は警告する。

内部不正による情報漏洩で記憶に新しいのは、2014年の教育・出版大手B社で起きた顧客情報流出事件。同社の顧客データベースを保守・管理するグループ会社委託先の元社員が、顧客の個人情報を名簿業者へ売り渡す目的で、記憶媒体にコピーし流出させたとして不正競争防止法違反の疑いで逮捕された。流出してしまった個人情報は、約3500万件にのぼる。

菅原氏は、「こうした事件のあと、顧客やユーザーが致命的な危機に陥ることはない」と前置きしながら、企業側のレピュテーション被害について触れた。

「この事例での問題は、情報が漏洩してしまった会社は、怒り狂うユーザーの風評にさらされ、事件の代名詞的な存在になってしまい、その後の企業活動に多大な影響をおよぼすことになる。そこで、いかに初期段階で食い止めるか、どう収束させるか、どう防止策を施すかなどが求められる」(菅原氏)

●個人情報の提供はバランスが肝要

また菅原氏は、被害のレベルについて、大きく3パターンがあるという。「ひとつは、データを持ち出した人間が、企業や団体などを脅すパターン。これは警察などの協力を得て解決ができる可能性がある。もうひとつは、流出させた情報を名簿屋などに売ってしまうパターン。このあと複数の業者にデータが流れてしまう可能性を含んでいる。3つめは、ネット上にアップされてしまうというパターン。こうなると甚大な被害に発展してしまう」と菅原氏。

「アドテクノロジーの発展とともに個人情報の活用の仕方も変わってきている。実際に名前がわかったりすると、マーケティング的にも効率がいい。マーケティングオートメーションなどでは、メールアドレスを紐付けておき、クッキーを踏ませるようになるので、誰がどの階層までくるかなどがわかる。気をつけたいのは、個人情報などに過敏に反応してしまうと、アメリカでは許されているようなマーケティング活動が難しくなってくる。これは消費者と企業のお互いが利便性を失うことにつながる。消費者サイドの立場ばかり尊重されると、企業活動が制限される。バランスが重要と考えている」

●内部不正検知の重要性

こうした観点のもとで、情報漏洩を未然に防ぐべく、社内でのルール作成や管理強化を施す企業も増えてきているが、「それだけでは防げないという現況から、兆候を見るという内部不正検知の技術が注目されている」と菅原氏はいう。

この内部不正検知とはどんなものか。エルテスが展開する内部不正検知サービスを例にみると、企業や団体にかかわるスタッフらの“複数行動”を組み合わせ、アルゴリズム化し分析することで、不審者の“異常値”を検知。リスクの“兆し”をキャッチし、重大インシデントに発展する前に対処できる幅を確保するというものだ。

具体的には、ウェブやファイルへのアクセス、出退勤情報、顧客関係管理システムなどの企業内情報をはじめ、FacebookやTwitterといったSNSなどの外部情報のログを収集し、「転職意志」「金銭問題」「不満」などを抱える人材を検知。経営層や人事部門などがこうした“リスク兆候”を把握し、対策を施していくという流れだ。

こうした検知サービスに注目している菅原氏は、個人個人のモラル以前に「企業や管理部門などが、社内全体にちゃんと“けん制”しているかがカギとなってくる。情報漏洩リスクに対した管理を厳しく行っているという姿勢を伝えているかが大事」とも話していた。

「金に困った人が、金欲しさに個人情報を盗んだ場合、刑事事件にして犯人を逮捕することはできるが、損害賠償請求まではほぼ不可能。日本人は事件が起きたあとの“再発防止”に力点を置くが、情報漏洩で被った風評被害や損害は計り知れない。未然に防ぐことが大事」(菅原氏)

情報漏洩、再発防止策では遅い…内部不正検知という防衛策

《大野雅人@東京IT新聞》

編集部おすすめの記事

製品・サービス・業界動向 アクセスランキング

  1. 「ポケモンGO」アップデート、不正行為への対策も強化(ナイアンティック)

    「ポケモンGO」アップデート、不正行為への対策も強化(ナイアンティック)

  2. OWASP ZAPを使用した脆弱性診断の手法を説明するセミナーをメニュー化(HASHコンサルティング)

    OWASP ZAPを使用した脆弱性診断の手法を説明するセミナーをメニュー化(HASHコンサルティング)

  3. 「過去のエンドポイント保護は不要」、機械学習のマルウェア対策Cylance日本法人(Cylance)

    「過去のエンドポイント保護は不要」、機械学習のマルウェア対策Cylance日本法人(Cylance)

  4. 組織内CSIRTの構築から運営までを総合的に支援するソリューション(IIJ)

  5. 暗号処理にかかるエネルギーを50%以上削減、IoT機器の次世代ネットワークの安全性向上に期待(東北大学、NEC)

  6. ネットワーク“迷宮化”ソリューションにランサムウェア検知・防御機能(アズジェント)

  7. 非認可の不正APや不正デバイスを検知し遮断、Wi-Fiセキュリティセンサーを販売開始(レンジャーシステムズ)

  8. イントラネット監視と従業員監視が協業、ハッカーも内部不正も検知(セキュリティフライデー、インターコム)

  9. Linkedinでの情報流出を受け、一部ユーザーにパスワード変更を呼びかけ(Dropbox)

  10. 日本発のクラウドセキュリティ認証がISO 27017として発行、ISMS認証も対応(JIPDEC)

  11. BCPへの対応力を強化した「三鷹第二データセンター(仮称)」の建設を開始(NTTデータ)

  12. Citizen LabとLookoutから指摘を受けたセキュリティ問題を修正したiOS 9.3.5をリリース(Apple)

  13. 振り込め詐欺や迷惑電話対策の機能を強化したデジタルコードレス電話機を発売(パナソニック)

  14. 脅威インテリジェンスをSplunkに統合できるプラグインを提供開始(カスペルスキー)

  15. 自分の利用しているサーバの状況を確認する方法 不正中継確認

  16. 台風に備え「避難」や各種災害情報に関する基本を整理

  17. 仮想ブラウザとファイル無害化ソリューションを連携、自治体にも有効(アシスト、イーセクター)

  18. メールセキュリティのクラウドサービスに「メール無害化オプション」追加(IIJ)

  19. セキュリティは「費用」でなく「投資」、内閣サイバーセキュリティセンター方針(NISC)

  20. ワークスがISO27017認証を取得、国内クラウドERPベンダとして初(LRM)

アクセスランキングをもっと見る

★~(=^・ω・^)ノ☆★9月15日まで ノベルティや海外カンファレンスのお土産大放出キャンペーンを実施中 ★★
★~(=^・ω・^)ノ☆★9月15日まで ノベルティや海外カンファレンスのお土産大放出キャンペーンを実施中 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事はもちろんのこと、掲載された全ての限定コンテンツに、フルアクセスが可能となります。

×