内部不正対策、従業員の監視は「目視から機械」へ、ガートナーが3つの提言：最優先はプライバシーを侵害しないこと

ガートナージャパンは、内部不正対策を再考する際に重視すべき3つのポイントを発表した。ビジネスの変化とそのスピードに追随できる内部不正対策を目指して「これまでの対策を再考する必要がある」としている。

[＠IT]

　ガートナージャパンは2022年7月6日、内部不正対策を再考する際に重視すべき3つのポイントを発表した。

プレスリリース

　ガートナージャパンは「内部不正のリスクは全ての企業に存在する。外部の攻撃者の悪意ある行動を見抜くことはできても、信頼できるユーザーの不正はなかなか見抜けない」と指摘する。内部関係者によるインシデントには、悪意によるものだけでなく、過失やミスによるものもあるからだ。しかも対象は従業員だけではなく、契約社員や協力企業の社員などにも同じセキュリティリスクが存在する。

　ガートナージャパンの矢野 薫氏（アナリスト　ディレクター）は「これからのデジタル時代は、ビジネスの変化とそのスピードに追随できる内部不正対策を目指して、これまでの対策を再考する必要がある」と述べている。

　ガートナージャパンは「内部不正対策を再考する際に重視すべきポイント」を3つ挙げる。

スピードへの対処

　ガートナージャパンは内部不正対策として、ユーザーの所属や役職単位でアクセス権を付与するのではなく「ユーザーの業務範囲に着目し、どのファイルやデータへのアクセスが必要なのかを基準にセキュリティを制御すべきだ」としている。

　従来の方法は、アクセスする必要がないのに権限を付与していたり、本当にアクセス権が必要な人への付与が例外扱いになっていたりするなど「セキュリティと利便性の両面でデジタル時代に求められるビジネスの俊敏性に対応できなくなっている」とガートナージャパンは指摘している。

　矢野氏は「内部不正対策の観点で重視すべきは、アクセス権の過不足をユーザー単位／データ単位でなくしておくことで、不正の機会を最小化すること。取り組む際には、IT部門だけでなく、事業部門にも協力を依頼しながら組織的に進めていくことが重要だ」と述べている。

見えないことへの対処

　テレワークの広がりに合わせ、従業員のモニタリングを「目視から機械」に移行すべきときが来ているとガートナージャパンは指摘している。同社によると、内部不正対策では「ビヘイビア分析」を重要視すべきだという。

　「ビヘイビア分析は、通常の行動から逸脱するような動き（行動パターン）に着目する。ログを見ただけでは分からない『行動の正しさ』を確認しやすい。ただ、モニタリングを検討する際は、従業員のプライバシー侵害に抵触しないことを最優先に取り組むことが肝要だ」（ガートナージャパン）

当事者意識向上への対処

　ガートナージャパンは、内部不正対策を図る際に、事業部門や従業員が自身の行動に主体性を持って対応すること、そしてこれまでのセキュリティ意識向上プログラムを再考する必要があると指摘している。

　「年に1回画一的に実施するような従来のプログラムでは、経営やIT部門のセキュリティに対する姿勢が従業員に伝わらない。本来の目的は攻撃手法への理解ではなく、決められたセキュリティルールの周知であるということに一度冷静に立ち戻り、考える必要がある。セキュリティを『自分事』として考えられるように、従業員には『決められたセキュリティのルールを守る』という立場で企業セキュリティの一翼を担っていることを認識してもらう必要がある」と矢野氏は述べている。