真のリスクは従業員や退職者の「内部脅威」にあり。経営者は情報漏洩にどう立ち向かえばいいのか

【特別対談】S&J 三輪信雄代表取締役社長 × 日本プルーフポイント 茂木正之代表取締役社長

個人情報は、ハッキングされて盗まれているわけではない

S&J 代表取締役社長 三輪信雄
1995年よりサイバーセキュリティービジネスを開始し、日本でいち早く脆弱性診断やセキュリティー監視(SOC)、セキュリティーコンサルティングなどを提供し業界をリードしてきた。現在は、自身の会社の経営を行いながら、政府関連の多くの委員の経験や、大規模セキュリティーインシデントの対応、セキュリティー製品開発などの幅広い知見を基に、政府組織のセキュリティーアドバイザーを務め、また政府のセキュリティー政策への提言を行っている。

三輪 そうですね。私がぱっと思い付いたものですと、二つの事例があります。

 一つは、機械やその保守部品を造って輸出もしている大手メーカーのケースです。

 その企業が新しい機械を造ってある国に輸出すると、すでに保守部品がその国で造られていたということが続けて起きました。調べてみると、子会社の業務委託先から保守部品の設計図が漏れていたことが判明。保守部品の利益率が高かったため、損失は大きく、中長期的な経営計画もあっという間に崩れてしまいました。

 もう一つは、顧客の個人情報漏洩です。

 実は個人情報リストは、皆さんが思っている以上にダークマーケットで活発に売買されています。特に富裕層や高齢者、障がい者などのリストを使った商売は、それによって一定程度の売り上げと利益が見込めるからです。こうした「商売」の中には、いわゆる「オレオレ詐欺」のような犯罪行為の他、社会通念上、許されない悪質なものも少なくありません。

 ここで、はっきりしていることは、こうした多くの個人情報は「ハッキングされて、盗まれているわけではない」ということです。

 よく考えてみていただきたいのですが、そもそも顧客情報はウェブサイトには保管しません。

 つまり、従業員や業務委託者、退職者などの内部者からの流出なのです。顧客情報の漏洩が公になり、それが大きなニュースとなれば、一般に顧客離れが起きて売り上げが減少し、信用失墜を招くという大きな損失を被ります。

日本プルーフポイント 代表取締役社長・カントリーマネージャー 茂木正之
大手外資系企業などを経て、1995年に日本オラクル入社。2001年常務執行役員に就任、9年間にわたり、日本オラクルの支社を含めたエンタープライズ営業体制の基礎を構築。同年子会社のミラクル・リナックス(現サイバートラスト)の代表取締役社長も兼任。マカフィー常務執行役員、ファイア・アイ日本法人社長、サイバーリーズン・ジャパン執行役員社長を経て、20年3月1日より現職。

茂木 確かに、そうしたことが頻発すると「情報を守れない信用できない企業」というレッテルを貼られかねませんね。企業の体質や管理体制を問われることになりますから。

 まさに、ボディーブローのようにじわじわと経営に悪影響を及ぼすことになりかねないでしょう。

三輪 そうですね。サイバー攻撃でハッキングされた場合は「パッチを当ててソフトウエアの不具合を修正しました。今後、こういうことが起きないようにセキュリティー対策を強化します」と言えば、世間からも安全性が高まるだろうと受け止められます。

 しかも、世間は「企業はどちらかといえば被害者」という目で、見てくれます。

 ところが、内部脅威の場合は言い訳のしようがない。むしろ「駄目な企業文化が根付いているのではないか」という冷たい目で見られてしまう。

 実際、被害の影響や世間からの批判も、サイバー攻撃に比べて長引くことが多いのです。

「従業員による従業員の監視」は成り立たない

茂木 多くの日本企業は、一般にサイバー攻撃対策に比べ、内部脅威対策は脆弱です。これは「身内を疑い、監視すること」に抵抗を感じる企業文化も関係しているのでしょう。しかし、重要なデータは常に現場の従業員のパソコンの中で作られ、そこに保管されているわけです。

 ここに内部脅威対策の難しさがあると思います。

三輪 多くの企業では、その対策として「操作ログ管理」のソフトウエアを導入しています。

 各従業員のパソコンの使用状況を記録できるため、不正を抑止する効果があるといわれていますが、実際にはそれほどでもありません。

 というのも、手間暇をかけて全従業員の操作ログをチェックしている企業はほぼないからです。

 では、何をしているかというと「抜き打ちテスト」です。予告なしに操作ログを調べて違反があれば注意します。しかし、これも繰り返すうちに抑止力が薄れます。

 以前、ある人材派遣会社で内部からの情報漏洩事件が起きたのですが、その企業が対策として行ったのは、情報システム部の管理者が全ての従業員のメールをチェックすることでした。

 ところが、わずか2カ月ほどで、その管理者は精神面でバランスを崩し、会社を辞めてしまった。

 その理由は明白です。知らなくてもいい情報を知ってしまったり、周りからスパイのような目で見られたりすることが大きな苦痛だったからです。そのとき思ったのは、日本では「従業員による従業員の監視」は成り立たないということです。

 そうはいっても、問題行動をリアルタイムに見つけ出す仕組みがなければ、不正が顕在化するまで気付かず、対応が手遅れになります。

 ですから、ドライかつ構造的に、そして常に監視できるソリューションが必要だと思うのですが、茂木社長はどのような対策をすべきとお考えですか。

問い合わせ先

日本プルーフポイント株式会社
〒105-6034
東京都港区⻁ノ⾨4-3-1
城⼭トラストタワー34階
03-6402-5041
https://www.proofpoint.com/jp
TOP