周囲の目が届かないテレワークの広がりによって、内部脅威による情報漏洩(ろうえい)リスクが増大している。しかし、多くの企業ではサイバー攻撃対策に比べ、従業員などが監視対象となる内部脅威対策は脆弱なままだ。このリスクに経営者はどう対処すればいいのだろうか。そこで「内部脅威の現状と対策」について、長年にわたり企業のセキュリティーをサポートしてきたS&Jの三輪信雄社長と、日本プルーフポイントの茂木正之社長に語ってもらった。
外部ハッカーよりも危険な「内部攻撃者」がいる
茂木 コロナ禍を契機にテレワークが広がる中、従業員や業務委託先などから機密情報が流出する内部脅威のリスクが増大しています。
ですが、内部脅威は企業の信用失墜を招きかねないため、公にされないことも多く、事件として報道されるのは氷山の一角です。IPA(情報処理推進機構)が発表した「企業における営業秘密管理に関する実態調査2020」を内部脅威の軸で再集計すると、営業秘密の漏洩ルートのうち内部脅威からの情報漏洩は全体の87.6%で、サイバー攻撃による情報漏洩の約10倍にもなっています。
こうした実情を三輪社長はどう見ていらっしゃいますか。
三輪 統計データはありませんが、ランサムウエアや標的型攻撃といったサイバー攻撃に遭う確率と、内部からの情報漏洩が起きる確率を比べたら、内部脅威によるものがはるかに高いように感じます。
やはり、コロナ禍でテレワークが一気に広がりましたが、周囲の目が届かない環境で仕事する影響は大きいでしょう。オフィス勤務では入退館システムや監視カメラなどがあり、セキュリティー意識がある程度保たれるのですが、在宅勤務が長くなるほど、こうした意識は徐々に低下してしまいがちです。
またテレワークでは、急いでいたのでUSBでデータを持ち出した、あるいは会社支給ではなく自宅のパソコンから自社システムにつないでしまったといったケースもしばしば起こります。企業の情報は個人のパソコンにどんどんたまってしまいますし、不注意による紛失などのリスクも高まります。
特に増えているのは、退職者による不正な情報の持ち出しです。人材の流動化が進み、企業に対する帰属意識が薄まれば、こうした不正行為が今後も増えていく可能性が高い。
実際、転職の際に機密情報を持ち出すということも今や珍しくありません。
茂木 内部からの情報漏洩リスクは高まることはあっても減ることはないでしょうね。厄介なのは、悪質な内部攻撃者は、機密情報の価値や保管場所をよく知っていることです。それが「外部ハッカーよりも危険」といわれるゆえんです。
経営者には内部脅威のリスクが増大していることに加え、内部脅威対策をないがしろにすると大きな損失を被る可能性があることを、ぜひ知っておいてほしいですね。実際に深刻な被害は増える一方です。
その実例は枚挙に暇(いとま)がありませんが、あえて一般の方でも分かりやすいような内部脅威の事例を挙げるとしたら、どんなものでしょうね。
