2026 年 3 月に開催される Security Days Spring 2026 で、日本プルーフポイント株式会社 シニアセールスエンジニアの磯村 直樹 氏(写真)が「進まない内部不正対策、どのように考えるべきなのか」と題した講演を行う。内部不正対策が日本企業で進まない構造的な理由と、情報漏えい対策との本質的な違いについて解説される予定だ。講演に先立って磯村氏に話を聞いた。
内部不正と情報漏えいは同じ文脈で語られがちであり、他ならぬ記者自身もそうだったが、このインタビューで両者に明確な時系列の違いがあることがわかった(くわしくは本文に後述)。ひょっとするとこの認識の欠如こそが 10 年以上にわたって対策が進まなかった根本原因のひとつかもしれないとすら思った。
● 12 年連続で課題に挙がり続ける現実
磯村氏は Symantec や FireEye など 20 年以上にわたり IT セキュリティ産業に従事してきた。エンドポイント、クラウド、監視、情報漏えいと幅広い領域を経験し、現在は日本プルーフポイントで日本企業の内部不正対策・情報漏えい対策を推進している。
インタビュー冒頭、磯村氏は内部不正対策の現状について率直に語った。
「 IPA が毎年発表する情報セキュリティ 10 大脅威で、内部不正は 12 年連続で課題として挙げられています。12 年連続で残り続けているということは、対策が進んでいないことの証左だと考えています」
セキュリティ対策は長らく、製品を購入することとイコールと捉えられがちだ。しかし内部不正対策は、そうした発想だけでは前に進まない領域だという。
● 内部不正と情報漏えいは「時系列が違う」
磯村氏が強調したのは、内部不正と情報漏えいの関係性についての根本的な誤解だ。
「内部不正と情報漏えいという言葉は同軸で語られがちですが、これは時系列が異なるものだと捉えています。まず最初に内部で不正が起こり、その後に実際の情報漏えいが発生します。内部不正が発生した初期段階では直接捕まえることは難しいのですが、にも関わらず漏えいに至る前の段階で防ぐ必要があるのです」
言われてみれば確かにその通りだ。会社に対する不信感などの動機を持ち、「このくらい誰でもやっている」と正当化をはかり、顧客データをダウンロードできるという機会を用いて正規権限でダウンロードした時点ですでに内部不正は発生しているのだが、クラウドストレージにアップロードしたり転職先に手土産として渡されるまでは情報漏えいは発生したことにならない。ここに従来の情報漏えい対策の限界がある。
従来の情報漏えい対策も一定範囲で有効だが、企業内の重要情報を定義してタグ付けし、それが境界から外に出るかどうかを監視する仕組みには構造的な限界があると磯村氏は指摘する。
重要情報がどこにあるかを特定しポリシー化する作業は、IT 部門だけでは困難だ。ユーザーにタグ付けを依頼しても、そのレベルはバラバラになる。生成 AI が作成したコンテンツにもタグ付けが必要になる。また、すでに悪意を持っている人物が正しいタグ付けをする保証はない。
「境界できっちりとした防御ができないとなると、その前の段階、つまり内部不正の段階で防ぐ必要があります」と磯村氏は語る。これがプルーフポイントの提唱する「ヒューマンセントリック」アプローチの核心だ。誰が悪意を持ち、誰が不正を行い、誰が漏えいにつながるのか。「誰が何をするのか」を可視化することで、漏えいに至る前に対処する。詳しいテクノロジーについては講演で確認してほしい。
● 金融業だけのものではなくなった DLP
かつて DLP は「金融業界のためのソリューション」という認識が強かった。しかし磯村氏によればその壁は急速に消えつつあるという。
「数年前であれば、情報漏えい対策は金融業などで一定程度使われている程度でした。しかし最近は業種を問わず、大手製造業でも検討や採用がかなり進んでいます。業種の壁はほとんどなくなってきています」
背景には、言語の壁の消失がある。生成 AI の普及により、日本語という障壁は事実上なくなった。日本企業が持つ技術情報や知的財産に対して、海外からの望ましくないアクセスが容易になっている。転職を含む情報窃取の勧誘も、言語の壁なく行われるようになった。
● IT 部門だけでは完結しない構造的問題
内部不正対策が進まないもう一つの理由として磯村氏は、組織構造の問題を挙げた。
アンチウイルスであれば、IT 部門が購入して IT 部門が運用して完結する。しかし内部不正対策は違う。製品の購入と運用は IT 部門が担当するが、インシデントが発生した際のハンドリングは総務部門、人事部門、コンプライアンス部門の領域となる。
IT 部門だけで完結しないがゆえに、導入に躊躇する企業は多い。会社全体の取り組みとして推進しなければならないことが、ハードルの高さにつながっている。プルーフポイントでは、こうした課題に対応するため、コンサルティング形式での構築支援や、マネージドサービスとして運用に人員を組み込む形態でのサポートを提供している。
Proofpoint ITM(Insider Threat Management)には、AI を活用した新機能が追加されている。インシデントが発生した際、AI がトリアージを行い、管理者のインシデントレスポンス作業を支援する。インシデントに関する問い合わせを AI に対して行うことも可能だ。また、重要情報の定義が難しいという課題に対しては、クラウド上に保存されたファイルを AI が自動分類する機能も提供される。どのようなファイルがどのクラウドにどれだけ存在するかを可視化することで、ポリシー設定の負荷を軽減する。
● 企業再編時代に性善説は通用しない
磯村氏は読者に向けたメッセージとして「内部脅威対策の重要度を社内でなかなか上げられなかったり、有効な策がないと感じている企業の方に伝わればと思っています。企業再編等で様々な企業文化が混在する近年の環境では、性善説は必ずしも通用しなくなっています。そうした状況にある企業の方にも聞いていただきたいと考えています」と述べた。
東京会場ではブース出展も行われる。同社ブースの A03 は講演出入口の目の前に設置され、同社製品のパネル展示が予定されている。大阪・福岡会場では、プルーフポイントのパートナー企業のブースで製品が紹介される。
--
Security Days Spring 2026
東京講演 3.25(水) 12:05-12:45 | RoomA
進まない内部不正対策、どのように考えるべきなのか
日本プルーフポイント株式会社
シニアセールスエンジニア
磯村 直樹 氏
