2016.09.30(金)

情報漏えいを防ぐためスタッフらの行動を組み合わせて分析し内部不正を検知

製品・サービス・業界動向 業界動向

内部不正や情報漏洩というリスクに対し、企業や団体はどう防衛網を張り、ダメージをいかに最小限に抑えられるか……。2月初旬、リスク検知に特化したビッグデータ解析などを展開するエルテス(東京・新橋)の代表を務める菅原貴弘に、そのヒントを聞いた。

●内部要因や内部不正が多い

日本の企業や団体において、情報漏洩などによって受けた経済的被害のうち、82%が「内部要因」で、世界全体の56%に対し、「日本は諸外国に比べて内部不正の割合が高い」と同社は警告する。

内部不正による情報漏洩で記憶に新しいのは、2014年の教育・出版大手B社で起きた顧客情報流出事件。同社の顧客データベースを保守・管理するグループ会社委託先の元社員が、顧客の個人情報を名簿業者へ売り渡す目的で、記憶媒体にコピーし流出させたとして不正競争防止法違反の疑いで逮捕された。流出してしまった個人情報は、約3500万件にのぼる。

菅原氏は、「こうした事件のあと、顧客やユーザーが致命的な危機に陥ることはない」と前置きしながら、企業側のレピュテーション被害について触れた。

「この事例での問題は、情報が漏洩してしまった会社は、怒り狂うユーザーの風評にさらされ、事件の代名詞的な存在になってしまい、その後の企業活動に多大な影響をおよぼすことになる。そこで、いかに初期段階で食い止めるか、どう収束させるか、どう防止策を施すかなどが求められる」(菅原氏)

●個人情報の提供はバランスが肝要

また菅原氏は、被害のレベルについて、大きく3パターンがあるという。「ひとつは、データを持ち出した人間が、企業や団体などを脅すパターン。これは警察などの協力を得て解決ができる可能性がある。もうひとつは、流出させた情報を名簿屋などに売ってしまうパターン。このあと複数の業者にデータが流れてしまう可能性を含んでいる。3つめは、ネット上にアップされてしまうというパターン。こうなると甚大な被害に発展してしまう」と菅原氏。

「アドテクノロジーの発展とともに個人情報の活用の仕方も変わってきている。実際に名前がわかったりすると、マーケティング的にも効率がいい。マーケティングオートメーションなどでは、メールアドレスを紐付けておき、クッキーを踏ませるようになるので、誰がどの階層までくるかなどがわかる。気をつけたいのは、個人情報などに過敏に反応してしまうと、アメリカでは許されているようなマーケティング活動が難しくなってくる。これは消費者と企業のお互いが利便性を失うことにつながる。消費者サイドの立場ばかり尊重されると、企業活動が制限される。バランスが重要と考えている」

●内部不正検知の重要性

こうした観点のもとで、情報漏洩を未然に防ぐべく、社内でのルール作成や管理強化を施す企業も増えてきているが、「それだけでは防げないという現況から、兆候を見るという内部不正検知の技術が注目されている」と菅原氏はいう。

この内部不正検知とはどんなものか。エルテスが展開する内部不正検知サービスを例にみると、企業や団体にかかわるスタッフらの“複数行動”を組み合わせ、アルゴリズム化し分析することで、不審者の“異常値”を検知。リスクの“兆し”をキャッチし、重大インシデントに発展する前に対処できる幅を確保するというものだ。

具体的には、ウェブやファイルへのアクセス、出退勤情報、顧客関係管理システムなどの企業内情報をはじめ、FacebookやTwitterといったSNSなどの外部情報のログを収集し、「転職意志」「金銭問題」「不満」などを抱える人材を検知。経営層や人事部門などがこうした“リスク兆候”を把握し、対策を施していくという流れだ。

こうした検知サービスに注目している菅原氏は、個人個人のモラル以前に「企業や管理部門などが、社内全体にちゃんと“けん制”しているかがカギとなってくる。情報漏洩リスクに対した管理を厳しく行っているという姿勢を伝えているかが大事」とも話していた。

「金に困った人が、金欲しさに個人情報を盗んだ場合、刑事事件にして犯人を逮捕することはできるが、損害賠償請求まではほぼ不可能。日本人は事件が起きたあとの“再発防止”に力点を置くが、情報漏洩で被った風評被害や損害は計り知れない。未然に防ぐことが大事」(菅原氏)

情報漏洩、再発防止策では遅い…内部不正検知という防衛策

《大野雅人@東京IT新聞》

編集部おすすめの記事

製品・サービス・業界動向 アクセスランキング

  1. 金融機関の口座データとFinTechサービスをセキュアに連携(日立)

    金融機関の口座データとFinTechサービスをセキュアに連携(日立)

  2. 三菱UFJモルガン・スタンレーPB証券、Office 365の対策に「CAS」を導入(トレンドマイクロ)

    三菱UFJモルガン・スタンレーPB証券、Office 365の対策に「CAS」を導入(トレンドマイクロ)

  3. 日本発のクラウドセキュリティ認証がISO 27017として発行、ISMS認証も対応(JIPDEC)

    日本発のクラウドセキュリティ認証がISO 27017として発行、ISMS認証も対応(JIPDEC)

  4. サーバ、ネットワーク機器のログを収集・分析、レポートする月額サービス(NECネクサソリューションズ)

  5. 「どんちゃんねぶた」で情報モラルの実施を呼びかけ(ACCS)

  6. 一連のサイバー攻撃、内部犯行対策を実現する国産EDRソリューション(ソリトンシステムズ)

  7. ファイル暗号化・追跡ソリューション「FinalCode」の新版、AD連携など強化(デジタルアーツ)

  8. 世界初のアルゴリズムで安全性評価が可能な匿名加工情報作成ツールを開発(KDDI研究所)

  9. 横浜市港湾病院の元医師が患者約1万3千人分の個人情報を持ち出し

  10. 自分の利用しているサーバの状況を確認する方法 不正中継確認

  11. 標的型攻撃向けの特化型対策製品が22%で拡大、サービスも7.6%で成長(IDC Japan)

  12. 保護者がスマートフォンへの理解を深めるパンフレットを公開、Wi-Fiの危険性やセキュリティ対策についても解説(愛知県)

  13. AWS 向け SaaS 型セキュリティサービス Alert Logic 概要と提供価格

  14. 仮想ブラウザとファイル無害化ソリューションを連携、自治体にも有効(アシスト、イーセクター)

  15. 操作性や機能強化を行った「GUARDIANWALL Cloud Edition」の新版(キヤノンITS)

  16. 社内のファイル管理に特化した「FinalCode」の機能限定版を提供開始(デジタルアーツ)

  17. サイトの閲覧を制限するPS4向けのWebセキュリティサービスを提供開始(トレンドマイクロ)

  18. 「過去のエンドポイント保護は不要」、機械学習のマルウェア対策Cylance日本法人(Cylance)

  19. ゼロデイ攻撃やランサムウェアにも対応するエンドポイント新製品(ソフォス)

  20. 大学生・大学院生を対象にした無償のサイバーセキュリティ体験講座を開講(PwCコンサルティング)

アクセスランキングをもっと見る

★~(=^・ω・^)ノ☆★10月7日まで ノベルティや海外カンファレンスのお土産大放出キャンペーンを実施中 ★★
★~(=^・ω・^)ノ☆★10月7日まで ノベルティや海外カンファレンスのお土産大放出キャンペーンを実施中 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事はもちろんのこと、掲載された全ての限定コンテンツに、フルアクセスが可能となります。

×