企業の信頼や事業継続を脅かす「内部不正」は、外部からのサイバー攻撃と同様に重要な問題です。特に多くの機密情報や顧客データを取り扱う情報通信業にとって、内部不正対策は経営の最重要課題の一つといえるでしょう。
近年、リモートワークの普及やSaaS利用の拡大により、情報資産へのアクセス経路は複雑化しています。加えて、組織内の不満や人手不足といった課題は、不正行為の「機会」や「動機」につながる可能性があります。
この記事では、内部不正が発生する原因や背景を整理し、従来の対策の課題点を明確にした上で、現代のIT環境に不可欠な最新の防御策であるSASE(サシー)を活用した具体的な対策をご紹介します。
目次
内部不正とは?
企業のセキュリティ対策において、外部からの侵入に対する防御は不可欠です。しかし、それと同等、あるいはそれ以上に警戒が必要なのが「内部不正」です。
内部不正の定義
内部不正とは、企業の従業員(正社員、契約社員、派遣社員など)や元従業員、さらには業務委託先の関係者といった、組織の内部情報にアクセス可能な立場にある人物が、その権限を悪用したり、ルールに違反したりして行う不正行為全般を指します。
具体的には、機密情報の持ち出し、顧客データの売却、システム上のデータの改ざん、金銭の横領などが含まれます。外部からの攻撃とは異なり、正規のアクセス権限を持つ人物によって行われるため、検知や防御が難しいという特徴があります。
内部不正が企業に与える影響
一度内部不正が発生すると、企業は以下のような甚大な損害を被る可能性があります。
・情報漏洩: 技術情報、開発中のソースコード、顧客リスト、財務情報といった企業の競争力の中核となる機密情報が外部に流出します。特にSIerやSaaS開発企業にとっては、顧客から預かったデータやシステム構成情報が漏洩した場合、計り知れない損害につながります。
・金銭的損害: 不正行為による直接的な金銭の横領だけでなく、情報漏洩に伴う損害賠償請求、対応にかかる調査費用、システムの復旧コストなど、莫大な金銭的損害が発生します。
・信用の失墜: 内部管理体制が不十分であると見なされることで、顧客や取引先からの信用を失い、既存契約の解除や新規取引の停止につながる可能性があります。
内部不正の原因と発生理由
内部不正は、特定の悪意を持った人物だけが起こすとは限りません。どのような組織でも、条件が揃えば発生しうる問題です。
内部不正が発生する主な原因「不正のトライアングル」
不正行為が発生するメカニズムとして、米国の犯罪学者ドナルド・R・クレッシーが提唱した「不正のトライアングル」という理論が広く知られています。これは、「動機」「機会」「正当化」の3つの要素がすべて揃ったときに、人は不正行為に及ぶとする考え方です。
動機(経済的困窮、不満、恨みなど)
「動機」とは、不正行為に走るきっかけとなるプレッシャーや欲求のことです。
経済的な問題としては、借金やギャンブル、浪費などによる金銭的な困窮が挙げられます。また、個人的な不満としては、人事評価への不満、不本意な異動、上司や同僚との人間関係の悪化、リストラなどに対する恨みがあります。
機会(アクセス権限の悪用、監視体制の不備など)
「機会」とは、不正行為を実行可能にする環境や状況のことです。
例えば、特定の担当者に必要以上に広範なデータへのアクセス権限(特権ID)が集中している場合や、誰がいつどの情報にアクセスしたかのログ監視が不十分、あるいは形骸化している監視体制の不備がある場合などが挙げられます。
また、情報の持ち出しに関するルールが不明確であったり、チェック機能が機能していないなど、内部統制の欠如もきっかけになり得ます。慢性的な人手不足、特に専門知識を持つIT人材や管理職の不足は、このような監視体制の不備を招きやすく、内部不正を生む要因となります。
正当化(会社のため、自分は正当な評価を受けていないなど)
「正当化」とは、不正行為を行う際に、自身の罪の意識を和らげるための「言い訳」や「都合の良い理由付け」を指します。
例えば、「これだけ会社に貢献しているのに、正当な評価も報酬も得られていない。このくらい当然の権利だ」と考える者や、「これは会社のためになることだ。一時的にルールを破るだけだ」と安易にルールを軽視する者、あるいは「皆やっている(あるいは、会社自体がルールを守っていない)から問題ない」と考える者が存在します。
これらの3要素が揃うと、普段は真面目な従業員であっても一線を越えてしまうリスクが高まります。
従来の内部不正対策とその限界
多くの企業では、これまでも内部不正を防止するための対策が講じられてきました。
従来の内部不正対策
従来の対策は、主に組織と外部ネットワークの「境界」を守ることに重点が置かれていました。
・境界型防御: ファイアウォールやIDS/IPS(不正侵入検知・防御システム)を設置し、オフィスのネットワーク(社内LAN)を外部のインターネットから物理的に守る。
・アクセス管理: 社内システムごとにIDとパスワードを設定し、役職や部署に応じてアクセス権限を付与する。
・物理的対策: 機密情報室の施錠管理、監視カメラの設置。
・人的対策: 入社時の誓約書の取得、定期的なセキュリティ研修や情報倫理教育の実施。
従来の対策における課題
これらの対策は重要である一方、現代のIT環境においては多くの課題に直面しています。
最大の課題は、「社内=安全、社外=危険」という前提が崩壊したことです。
リモートワークの普及、SaaSやIaaSといったクラウドサービスの本格的な活用により、従業員は社外から、会社が管理していないデバイスやネットワークを経由して、社外(クラウド上)にある情報資産にアクセスするようになりました。
このため、従来の境界型防御は機能しづらくなっています。また、正規のIDとパスワードを持つ従業員が不正な操作を行った場合、意図的か過失かにかかわらず、それを検知・阻止することは困難です。
さらに、経営の透明性が低い組織、例えば経営情報が一部の役員にしか共有されていない場合や、ガバナンス体制が未整備で社外取締役の登用などが進んでいない場合に、内部でのチェック機能や自浄作用が働きにくく、不正の「機会」や「正当化」を助長する温床となり得ます。
効果的な内部不正対策の進め方
現代の環境に対応した内部不正対策は、技術的な防御と組織的な体制整備の両輪で進める必要があります。
1. 現状分析とリスク評価
まずは自社の現状を把握することから始めます。
・情報資産の棚卸し: どのような機密情報が、どこ(ファイルサーバー、SaaS、PCローカルなど)に保存されているか。
・アクセス権の棚卸し: 誰が、どの情報資産にアクセスできる権限を持っているか。
・リスク評価: 漏洩した場合に最も損害が大きい情報は何か。その情報へのアクセス経路や権限は適切か。
2. 対策方針の策定とツールの選定
リスク評価に基づき、優先順位をつけて対策方針を策定します。セキュリティ対策も経営戦略の一環であり、経営計画に組み込んで実行することが、その実効性を高めることに繋がります。この段階で、従来の対策の弱点を補うための新しい技術(ツール)の選定も行います。
3. 従業員への教育と啓発
ツールを導入するだけでは不十分です。従業員一人ひとりのセキュリティ意識とリテラシーの向上が不可欠です。
4. 定期的な見直しと改善
内部不正対策は、一度導入すれば終わりではありません。ビジネス環境の変化、新しいツールの導入、組織変更などに伴い、リスクやアクセス権限は常に変動します。定期的に対策状況を評価し、見直しと改善を続けるプロセスが重要です。
最新の内部不正対策-SASEによるアプローチ-
従来の対策の限界を克服し、現代の複雑なIT環境における内部不正対策の切り札として注目されているのが「SASE(サシー)」です。
SASEとは?
SASEは「Secure Access Service Edge」の略で、2019年に米国の調査会社ガートナーによって提唱された新しいセキュリティフレームワークです。SASEは、ネットワーク機能とセキュリティ機能を単一のクラウドプラットフォームに統合して提供するというコンセプトが特徴です。
SASEが内部不正対策に有効な理由
従来の境界型セキュリティモデルでは、一度社内ネットワークに侵入を許してしまうと、その後のアクセスは比較的自由に許可される傾向にありました。しかし、SASEはこのような考え方を根本から覆し、社内外を問わずすべてのアクセスを疑い、その都度検証を行う「ゼロトラスト」の原則を採用しています。
この原則に基づき、SASEは以下のような機能を提供することで、内部不正のリスクを大幅に軽減します。
ゼロトラストに基づいたアクセス制御
ゼロトラストとは、文字通り「何も信用しない」という前提に立つセキュリティモデルです。たとえ社内ネットワークからのアクセスであっても、あるいは正規のIDとパスワードを使ったアクセスであっても、それを無条件に信用しません。
情報資産へのアクセス要求があるたびに、「そのユーザーは本当に本人か?」「許可されたデバイスか?」「不審な振る舞いはないか?」を都度検証し、許可された必要最小限のアクセスのみを許可します。これにより、正規の認証情報が悪用された場合でも、不正な情報へのアクセスを阻止できます。
クラウド利用状況の可視化と制御
情報通信業では、業務効率化のために多くのSaaS(クラウドサービス)を利用することが一般的です。しかし、管理部門が把握していないサービス(シャドーIT)を従業員が勝手に利用し、そこに機密情報を保存してしまうリスクがあります。
SASEは、組織全体の通信を可視化することで、どのようなクラウドサービスが利用されているかを把握し、不適切なサービスの利用を制御する機能を提供します。これにより、従業員による意図的または偶発的な機密情報の持ち出しや漏洩を防ぎます。
統合的なセキュリティポリシー適用
最大のメリットは、セキュリティポリシーを一元管理できる点です。オフィス、リモートワーク中の自宅、出張先のカフェ、あるいはスマートフォンから。ユーザーがどこからアクセスしようとも、SASEのクラウド基盤を経由させることで、常に一貫したセキュリティポリシー(「このユーザーは、このSaaSのこの機能まで」といったルール)を適用できます。これにより、場所やデバイスに依存しない堅牢なセキュリティ環境が実現し、内部からの情報流出リスクを低減します。
SASEを活用した内部不正対策の具体例
SASEは、複数のセキュリティ機能を統合したものです。ここでは、内部不正対策において特に重要な機能を紹介します。
ZTNA(Zero Trust Network Access)によるアクセス制御強化
ZTNAは、ゼロトラストを実現するための具体的な技術です。従来のVPN(社内ネットワークに「接続」する)とは異なり、ZTNAはユーザーを特定のアプリケーション(システム)にのみ「接続」させます。
これにより、たとえ正規の従業員であっても、業務に関係のないサーバーやデータベースへのアクセスを最初から不可能にすることができます。これは不正の「機会」を最小化する上で極めて効果的です。
SWG(Secure Web Gateway)による不正サイトへのアクセス防止
SWGは、従業員のインターネットアクセスを監視・制御する機能です。業務に関係のないWebサイトへのアクセスを禁止したり、フィッシングサイトやマルウェア配布サイトといった危険なサイトへのアクセスを自動的にブロックしたりします。
これにより、過失によるマルウェア感染や、悪意を持った従業員が情報を外部に送信しようとする通信を防ぎます。
CASB(Cloud Access Security Broker)によるクラウド利用の監視・制御
CASBは、クラウドサービスの利用に特化したセキュリティ機能です。
「どのSaaSが使われているか」の可視化(シャドーITの発見)はもちろん、「許可したSaaS内でも、個人アカウントへのログインは禁止する」「『機密』とタグ付けされたファイルのダウンロードや共有を禁止する」といった、非常にきめ細かな制御が可能です。
FWaaS(Firewall as a Service)による統合的な脅威防御
FWaaSは、従来オフィスに設置していたファイアウォール機能をクラウド上で提供するものです。すべての拠点やリモートユーザーからの通信をクラウド上のFWaaSで集約・検査することで、拠点ごとに機器を管理・運用する手間を削減しつつ、統一された脅威防御を実現します。
おすすめのSASEソリューション
SASEを実現するソリューションは多数存在しますが、ここでは代表的な3つのサービスを紹介します。
CATO Networks:グローバルな統合ネットワークセキュリティ
CATO Networksは、世界中に配置されたPoP(接続拠点)を通じて、SD-WAN(ネットワーク機能)とSSE(セキュリティ機能群)を単一のプラットフォームで提供する、SASEのリーディングカンパニーです。
特徴
・ネットワークとセキュリティを完全に統合し、単一の管理画面で運用可能
・グローバルに最適化されたバックボーンにより、海外拠点やリモートアクセスでも快適な通信速度を維持
・ZTNA、SWG、CASB、FWaaSといった必要な機能をオールインワンで提供
おすすめの企業
・国内外に複数の拠点を持ち、ネットワーク運用とセキュリティ管理を簡素化したい
・リモートアクセスと拠点間通信の両方で、一貫したセキュリティを確保したい
Lookout:モバイルとクラウドのセキュリティに強み
Lookoutは、特にモバイルセキュリティの分野で高い評価を得ており、その知見をクラウドセキュリティ(SSE)に応用しています。
特徴
・スマートフォンやタブレットからのアクセスに対する高度な脅威検知とデータ保護
・CASB機能とZTNA機能を統合し、管理されていないデバイスからのSaaS利用(シャドーIT)も安全に制御
・データの流れを詳細に追跡し、内部不正による情報漏洩を阻止
おすすめの企業
・モバイルデバイス(特にBYOD)の業務利用が多い
・SaaSやIaaS上のデータを中心に、情報漏洩対策を最優先で強化したい
Netskope:データ保護とクラウドセキュリティのリーダー
Netskopeは、CASB市場のリーダーとしてスタートし、SWGやZTNA機能を取り込んで包括的なSSEプラットフォームへと進化したベンダーです。
特徴
・数万種類におよぶSaaSアプリケーションの詳細な可視化と制御
・「営業担当者は、Salesforceの顧客データ閲覧は許可するが、エクスポートは禁止する」といった非常に詳細なデータ保護ポリシー設定が可能
・Webサイトだけでなく、SaaS内の通信(API通信など)も詳細に検査
おすすめの企業
・利用しているSaaSの種類が非常に多い、またはシャドーITに課題がある
・特定の機密データを「誰が」「どこで」「どう扱っているか」を正確に把握し、制御したい
まとめ
内部不正は、外部からの攻撃と異なり、「信頼している内部者」によって引き起こされるため、対策が非常に難しい問題です。特に、リモートワークやクラウド利用が常識となった現代において、従来の境界型防御策は限界を迎えています。
内部不正の「動機」「機会」「正当化」の3要素のうち、特に技術的に対処可能な「機会」を徹底的に対策することが重要です。
SASE(サシー)は、ゼロトラストの考え方に基づき、ユーザーがどこにいても、どのデバイスからでも、クラウド上の情報資産に安全にアクセスするための最新のセキュリティ基盤です。ZTNAによる厳格なアクセス制御、CASBやSWGによるデータ保護と可視化は、内部不正対策を飛躍的に向上させます。
