内部不正対策、従業員の監視は「目視から機械」へ、ガートナーが3つの提言：最優先はプライバシーを侵害しないこと

ガートナージャパンは、内部不正対策を再考する際に重視すべき3つのポイントを発表した。ビジネスの変化とそのスピードに追随できる内部不正対策を目指して「これまでの対策を再考する必要がある」としている。

[＠IT]

　ガートナージャパンは2022年7月6日、内部不正対策を再考する際に重視すべき3つのポイントを発表した。

プレスリリース

　ガートナージャパンは「内部不正のリスクは全ての企業に存在する。外部の攻撃者の悪意ある行動を見抜くことはできても、信頼できるユーザーの不正はなかなか見抜けない」と指摘する。内部関係者によるインシデントには、悪意によるものだけでなく、過失やミスによるものもあるからだ。しかも対象は従業員だけではなく、契約社員や協力企業の社員などにも同じセキュリティリスクが存在する。

　ガートナージャパンの矢野 薫氏（アナリスト　ディレクター）は「これからのデジタル時代は、ビジネスの変化とそのスピードに追随できる内部不正対策を目指して、これまでの対策を再考する必要がある」と述べている。

　ガートナージャパンは「内部不正対策を再考する際に重視すべきポイント」を3つ挙げる。

スピードへの対処

　ガートナージャパンは内部不正対策として、ユーザーの所属や役職単位でアクセス権を付与するのではなく「ユーザーの業務範囲に着目し、どのファイルやデータへのアクセスが必要なのかを基準にセキュリティを制御すべきだ」としている。

　従来の方法は、アクセスする必要がないのに権限を付与していたり、本当にアクセス権が必要な人への付与が例外扱いになっていたりするなど「セキュリティと利便性の両面でデジタル時代に求められるビジネスの俊敏性に対応できなくなっている」とガートナージャパンは指摘している。

　矢野氏は「内部不正対策の観点で重視すべきは、アクセス権の過不足をユーザー単位／データ単位でなくしておくことで、不正の機会を最小化すること。取り組む際には、IT部門だけでなく、事業部門にも協力を依頼しながら組織的に進めていくことが重要だ」と述べている。

見えないことへの対処

　テレワークの広がりに合わせ、従業員のモニタリングを「目視から機械」に移行すべきときが来ているとガートナージャパンは指摘している。同社によると、内部不正対策では「ビヘイビア分析」を重要視すべきだという。