真のリスクは従業員や退職者の「内部脅威」にあり。経営者は情報漏洩にどう立ち向かえばいいのか

アラートにはセキュリティー教育の効果も

三輪　属性情報が特定の人しか見られないという機能は、すごくいいですね。

　もし、悪い管理者がいたら、ITMの情報をネタに、情報漏洩した従業員を脅して金銭を要求したり、セクハラ行為を強要するといったことが起こりかねませんからね。これはこれで大きなリスクです。

　そもそも「悪いヤツを探し出そう」とする性悪説に基づいた内部脅威対策は、失敗するケースが多いのですが、ITMはそそっかしい従業員を守るためのソリューションでもあると思います。

　私が魅力に感じたのは、リアルタイム監視による不正抑止はもちろんですが、間違った操作を行おうとしたときに注意喚起をするアラート画面がポップアップされる点です。これはセキュリティー教育にもなりますね。

茂木　はい、当社では「Just In Timeの教育」と呼んでいます。

　例えば、アラート画面にその企業のセキュリティー・ポリシーを表示したり、重大なミスをした場合は「このトレーニングを15分受けるように」というメッセージと共にリンクを貼り付けたりしています。間違えたときにその場で改善を促すと高い学習効果が得られることは、米国の大学の研究でも実証済みです。

三輪　内部脅威によるインシデントの調査をいくつも行ってきましたが、機密情報を持ち出した人に共通しているのは「ログを取っていることは知っていたが、どうせ見ていないし、情報を持ち出しても見つからないだろう」と思っていたこと。

　そして、そもそもセキュリティーを甘く見ているから犯行を繰り返す傾向があることです。

　そういう意味では、ITMのアラート画面による注意喚起は不正の抑止力になるし、繰り返しがちな犯行を早い段階、まさにリアルタイムでストップできる効果も期待できると思います。

茂木　まさに、内部脅威のリスクを抑制しない限り、たとえ事業が順調に推移していても、突然、足元をすくわれてしまう懸念がぬぐえません。これでは、経営者が描く「中長期的な成長」を達成できなくなる可能性があります。

　ぜひ、この機会に、多くの日本企業の経営者の方々にも内部脅威のリスク対策を本格的に見直してみていただきたいと思いますね。