働く人を守るために―IRIが描く内部不正対策の未来

Internal Risk Intelligence（内部脅威検知サービス、以下「IRI」）のキーパーソンに焦点を当てた連載企画です。第2弾となる今回は、2025年6月よりIRIの事業戦略顧問に就任（※1）した西本逸郎さんと、IRIの開発者でもあり、IRI事業本部長を務める川下巧さんにお話を伺いました。

30年を見据え、IRIの価値を見つめ直す

――顧問という形でエルテスに参画いただきましたが、その就任の背景をお聞かせください。

西本　もともとご縁はありましたが、ラック社の社長を退任したタイミングでエルテス社長の菅原さんから「顧問としてお力添えいただきたい」とお声掛けをいただきました。

現在の日本では、「悪い人は外にいて、内部は安全である」、「従業員が悪い人のはずがない」といった認識が一般的になっていて、内部脅威はあまり着目されていません。しかし、サイバーセキュリティの分野では、外部から侵入して内部関係者になりすまし、攻撃を行うといった手口が当たり前になってきており、内部・外部の境界線が曖昧になりつつあります。つまり、セキュリティ分野全体で見ても、こうした内部脅威対策は今後大きく成長していく可能性がある領域だと感じています。また、エルテスは若い方が多く活躍されていると伺っており、若い方に色々なことを教わりながら、自身の経験を活かして支援できるフィールドを広げていきたい、という想いもありました。

――サービスの提供開始からもう少しで10年というタイミングです。西本さんにも参画いただき、改めて見つめ直すのにちょうど良いタイミングだったのでしょうか？

川下　エルテスとしては成長の鈍化を感じており、明らかな壁に直面していました。そんなタイミングでお迎えした西本さんはまさに救世主のような存在です。 西本さんに顧問として就任いただくにあたり、私としては2つの役割を期待しています。1つは、内部不正対策のトップ企業になるための認知拡大戦略でのお力添えです。もう1つは、売上を伸ばすための事業戦略の部分です。ずっと私の中で抱えていた課題感について、西本さんと共に今後整理していきたいと考えています。

西本　以前ラックの創業者から「1・3・1・3で考えろ」と教わりました。例えば、最初「1人」で始めたら次は「3人」。「3人」の次は、「5人」でも「7人」でもなく「10人」。そして「10人」の次は「30人」、「100人」、「300人」といったように成長していく。これは、組織の管理限界に関係しています。1人のときはすべて自分でできますが、2人では仕事を分けきれない。だからこそ3人が必要になる。期間の考え方も同じで、最初は「1日頑張ろう」、それができたら「3日頑張ろう」、そして「10日頑張ろう」と広がっていく。この考え方を今のIRIに当てはめると、次は30年を見据える段階にあると言えます。30年というと遠く感じるかもしれませんが、今の積み重ねが次の飛躍につながると考えています。

川下　西本さんはラック社をここまで大きく成長させた方です。対象は違えど、「監視する」という観点では共通している部分が多く、目指すべき指標だと思っています。私の中にあるバイアスを、パートナーとして客観的に補っていただき、日々多くの知恵を共有していただいています。

――西本さんから見てIRI、そしてエルテスの印象はどうですか？

西本　歴史のある会社ですが、大手企業様とのお付き合いの中では、まだまだ試行錯誤しながら成長している段階でもあります。つまり、伸び代が大きい会社です。その一方で、お客様からのご指摘を真摯に受け止め、着実に改善していく姿勢がしっかり根付いている。真面目で、仕事にとても真摯に向き合う皆さんの姿勢には驚きました。

そして何より、皆さんが提供するサービスに自信を持っている。これはとても重要なことです。自分たちの仕事に誇りを持ち、それをお客様に提供できているという確信が、組織全体に伝わっているように感じます。

川下　私自身が直接的に社員を指導したり、具体的なアクションを取り続けているわけではありませんが、西本さんにそのように感じていただけたのであれば、きっと「お客様に信頼して任せていただけている」というところから生まれる本質的な自信だと思います。

西本　サイバーセキュリティの運用は、お客様の最も重要な部分に関わりますし、発生したインシデントを最初に把握する仕事です。だからこそ、非常に高い倫理観が求められます。さらに、悪意ある攻撃者は常に新しい手法を考えてくるため、日々学び続ける姿勢も欠かせません。特に内部不正対策となると、より繊細な対応が求められます。だからこそ、そうした領域をお客様から任せていただいていることへの誇りや責任感、そして正義感を、社員の皆さんが強く持っているのだと思います。

――反対に、IRIやエルテスのもう少し伸ばしたいところはどこだと考えますでしょうか？

西本　サイバーセキュリティ全体でも言えることですが、内部脅威という分野は日本の中ではまだまだ小さい市場です。ただ、市場が小さいということは、それだけ今後の成長への期待値が高いという意味でもあります。現状では社会的に果たすべき使命感や責任の度合いも、まだそれほど高くありません。残念ながら、売上という数値がその実情を物語っています。今後売上を伸ばす意識を持って取り組んでいくことで、ある一定のラインを超えてくると、社会的にも欠かせない存在となり、お客様も私たちのサービスを手放せないようになると考えています。

――そうした課題もある中で、西本さんがエルテスに入られてから最初に取り組まれたことは何だったのでしょうか？ 

西本　「どんな価値を持っていて」、「何のために役立つのか」を言語化して、自分たちで再認識するために、パーパス・ビジョンを明確にすることを促しました。

例えば、日本酒は最近ようやく世界に魅力が広がりつつありますが、その背景には、日本酒の歴史や食文化との関係といった魅力を言語化し、世界に発信してきた努力があります。一方、焼酎はまだその段階に達していません。香りや深みなど多くの魅力があるにもかかわらず、「飲めばわかる」という説明にとどまってしまっています。企業も同様で、「当社の良さは付き合えばわかる」という姿勢が多く見られます。エルテスはその段階から脱するために、自社の持ち味を言語化し、パーパスを策定しました。

従業員を「監視する」のではなく、従業員を「守る」サービスへ

――ここからは、今後のことについてお話を伺っていければと思います。IRIは社会にとってどんな存在になりえるでしょうか？

西本　現在、犯罪の主流は強盗・窃盗から詐欺へとシフトしています。強盗・窃盗もなくなったわけではありませんが、警察や関係機関の努力によって件数の増加は抑えられ、ほぼ横ばいの状態です。その一方で、詐欺は倍々ゲームのような勢いで急増しています。そして当然の流れとして、サイバー領域でも詐欺が拡大しています。

従来の内部不正は、自ら不正を働いてしまうケースが中心でしたが、これからは「騙されて不正を働いてしまう」あるいは「煽動されてしまう」など、金銭目的の犯罪の片棒を担がされるだけではなく、安全保障に関わる分野まで広がっていくことが懸念されます。

主戦場がサイバー攻撃であることは変わらないかもしれませんが、より恐ろしいのは「人を介した脅威」です。だからこそ、そうしたリスクに備える準備が重要であり、IRIの市場は今後ますます必要性が増していくと考えられます。

川下　西本さんがおっしゃる通り、人を介した脅威への対策は今後さらに重要になってくると考えています。ただ一方で、ガチガチに守りを固めればいいというわけでもありません。

IRIを導入いただいているお客様からは、「従来はクラウドサービスやメール等を比較的厳重に規制していた。しかし、IRIを導入してからは不正検知の部分はお任せできるようになったからこそ、規制を緩和することができ、働きやすさ、効率化に繋がっている」というお声をいただいています。守りがきちんとしているからこそ攻めることもできる、というIRIの価値を今後さらに届けていきたいと考えています。

――IRIの目標「内部不正をゼロにする」についても、詳しく伺えますでしょうか？

西本　ここで言う私たちの防ぎたい内部不正というのは、本来は内部不正をする必要のなかった人が、騙されて不正に加担してしまったり、気づかないうちに内部不正行為をしてしまったりと不本意に巻き込まれてしまうようなケースのことです。もちろん、最初から不正を目的として入ってくる人に対しては、断固として許さない。この両方を合わせて「内部不正ゼロ」を目指しています。

内部不正対策は、会社を守るためのセキュリティであると同時に、会社で働く従業員を守るための盾でもあります。内部不正対策と聞くと、「従業員を疑うのか？」と感じる人もいるかもしれませんが、本質は逆で、従業員を守るためにこそ、早期の対策が必要です。日本企業ならではの「従業員を信じる」という価値観を強みと捉え、「内部不正対策をしていない会社は、従業員を守れない会社である」と胸を張って言えるような風潮・文化をつくることが理想です。

――「従業員を監視する」ではなく、「従業員を守る」という考え方を社会に広めていくために、どのような働きかけが必要だと思いますか？

西本　IPA（独立行政法人情報処理推進機構）が「組織における内部不正防止ガイドライン」（※2）を公表するなど、取り組みは進んでいるものの、まだ本気で対策しようという段階には達していません。

過去の大きな情報漏洩事件でも、技術的に防げなかったことが問題視されがちでした。しかし、本質的な問題は防げなかった技術ではなく、異常を検知しても、そこから適切に動けなかったオペレーションの欠如にあります。どんなに仕組みを整えていても、それを運用・監視する体制が機能していなければ意味がありません。実際に、不正行為は一瞬で起きるわけではなく、段階的にエスカレーションしていくものです。初期の段階で小さな兆候に気づき、適切に対応できていれば、多くの事件は防ぐことができたはずです。

例えば、夜遅くまで働いている従業員に「遅くまでお疲れさま」と声をかけるだけでも、「誰かが見ていてくれている」「自分は一人ではない」という安心感につながります。逆に、誰も気が付かないという環境は、心理的「ひとりぼっち」を生み出し、本来なら持つはずのない不正への動機を生み出しかねません。だからこそ、オペレーションが最も重要になりますが、日本ではオペレーション業務は誰でもできる仕事だと軽視されがちです。そこに本気で取り組む意識改革が求められます。

今後は、内部不正事件が起きた際に、「技術的に甘かった」と責めるのではなく、「なぜ兆候に気づけなかったのか」「なぜ従業員を不正に走らせてしまったのか」という視点、つまり、従業員を犯罪者にしないための対策という発想が必要です。そのためのサービスを提供する私たち自身が、「内部不正をゼロにする。なぜなら不幸な人を生まないため」という明確なパーパスやビジョンを持つことが重要です。

――最後に、この記事を読まれているステークホルダーの方々に向けてメッセージをお願いいたします。

西本　「エルテスは今、サナギになっていて、次は蝶になって羽ばたこうとしている」、そう思う方もいるかもしれませんが、実際はまだその前の段階で、小さな芋虫が大きな芋虫に脱皮している、くらいの時期です。つまり、これからさらに大きく成長していきますので、その成長にぜひ期待していてください。

そして社員の皆さん、及びご家族の皆さんには、自分たちが日本を代表するような企業の内部脅威対策を担い、その運用を任されているということの重みと、そこに寄せられている信頼の大きさを改めて感じてほしいと思います。本当に大切な仕事をしているという誇りを持ってほしいです。また、投資家の皆さんにもその価値に共感していただけるよう、会社としてもお伝えしていきたいと考えています。

＝ ＝ ＝

※1　2025年6月18日付リリース「株式会社ラック前代表取締役社長西本逸郎氏の事業戦略顧問就任に関するお知らせ」はこちら

※2　IPA（独立行政法人情報処理推進機構）「組織における内部不正防止ガイドライン」はこちら

プロフィール

関連記事