近年、大手企業での情報持ち出し事件が大きな話題となり、日本でも内部不正についての注目度が高まってきた。また、新型コロナウィルスの影響で、多くの企業が働き方を変化させるなか、許可外のネットワーク接続や情報持ち出しなど、「見えにくい場所」でのリスクも増大している。では、そうした内部脅威というリスクに対して、企業はどう立ち向かうべきなのか。そのための有効な一手となり得るエルテスの「Internal Risk Intelligence※1」について、サービス開発者の川下巧に聞いた。
問題が発生する以前に、「火元を消しにいく」という発想
——企業の内部脅威を検知するサービス「Internal Risk Intelligence」(以下、IRI)を立ち上げたきっかけから教えてください。
川下 エルテスでは「ネット炎上」という言葉が一般的になる前から、Webリスクモニタリングのサービスを手がけ、WebサイトやSNSのモニタリングを行ってきました。そして、サービスをはじめた当初からよく見られたのが、従業員が不適切な情報を発信して炎上してしまうケースです。
しかし、炎上した「結果」だけを見つけても、打てる手立ては限られます。そこで、「炎上の予兆をキャッチして、未然に防止すればいいのでは?」と考えたのが、IRI開発のきっかけです。つまり、起きてしまった炎上を消すのではなく、それ以前に予防できないかという発想ですね。
元々は炎上予防のために考え始めたサービスですが、取り組み始めるとより広範なリスクに対応できることがわかりました。社員による不適切な情報発信はもちろん、企業秘密の持ち出しのような産業スパイのようなケース、様々な勤務時間中の不正行為や未申告の時間外就労なども発見することができます。
——具体的には、どのように内部脅威を検知し、どう対策するのでしょう。IRIの特徴や仕組みとあわせて教えてください。
川下 仕組みを簡単に説明すると、Webの閲覧履歴、プリントアウト、入退出記録、勤怠情報、メール、ファイルサーバーアクセスといった企業内にある各種ログを組み合わせて、従業員の異常行動を把握・分析します。怪しい行動の組み合わせや、普段と比較して明らかに異常な行動を検知すると、アラートが出ます。
また、様々なリスク傾向に関しては組織全体、あるいは社員個人といった単位で傾向分析が可能で、ウェブ上でリアルタイムにレポートを閲覧できます。エルテスはWebリスクモニタリングサービスを通じて、データ分析の知見や機能を豊富に持っていましたから、そのノウハウを生かして開発を進め、2016年2月にサービスをリリースしました。
※IRIのサービス概要図
人のふるまいや動機に注目し、根本的な問題の解決を目指す
——近年は、「エンドポイントセキュリティ※2」と呼ばれる製品やサービスが広く使われるようになっていますが、そうしたものとIRIでは、どういった点が異なるのでしょう?
川下 一般的なエンドポイントセキュリティは、端末やネットワークを監視したうえで異常事態を検知します。ですから、「結果的に起こったこと」に対する事後の対応はできても、予兆の把握まではできない。対して、IRIは「人のふるまい」にフォーカスしてログの収集・分析を行うため、さまざまなリスクを事前に予測することができます。
——「人のふるまい」にフォーカスするという点について、詳しくお聞かせください。
川下 IRIでは「動機」「情報接触」「情報出口」という3つの視点でログの分析を行っており、事前のふるまいから「処遇や業務環境に不満がありそう」「退職の意思を持っているかも」「金銭トラブルを抱えていそう」といった、不正につながり得る「動機」の有無なども、ある程度予測することが可能です。
たとえば、頻繁に転職サイトにアクセスしている人が、ある段階から顧客リストを整理して、そのリストを個人のgoogleドライブにアップロードしていたとしましょう。おそらく他のサービスでも「情報の持ち出し」を見つけることは可能だと思いますが、ここで大事なのは結果ではなく、リスクをつかむタイミングです。IRIなら「動機」の分析から事前のリスクを予測しているため、実際に情報が持ち出される前にアクションを取ることができるのです。
——そうしたアプローチは、退職を考えている優秀な人材のつなぎとめなどにも役立ちそうです。
川下 その通りです。IRIを活用されているなかには、「社員の潔白を証明したいから」という理由で導入を決めた企業もあります。内部不正の発生率は「動機・プレッシャー」「機会」「正当化」という三つの要素によって高まるとされており、どのような企業もリスクとは無縁ではありません。逆に言えば、誰しもが三つの要素が高まった時に不正をしてしまう可能性があると考えています。だからこそ、不正を見つけるだけでなく、不正ができない状況をつくっていきたい。不正でキャリアを失ってしまう個人、損害を被ってしまう企業を守りたい。そのために、そもそも不正をする必要のない理想的な仕事環境を、IRIで実現したいというのが私たちの思いです。
テレワークが定着しつつあるいまだからこそ、IRIを上手に活用することで、働き方を透明化していけたら嬉しいですね。
▶Internal Risk Intelligenceの導入事例「auカブコム証券株式会社様」
——不正を未然に防ぐためにはリスク予測の精度も重要だと思います。IRIではどのような仕組みで精度を高めているのでしょう。
川下 弊社では膨大な数の内部不正のケースを持っていますが、そうした事例を細かく分析・パターン化して、それぞれのふるまいからどのくらいのリスクが予測できるかといったリスクスコアを設定しています。
まず、AIがログを分析してふるいにかけ、リスクスコアがしきい値より高くなったケースを専門アナリストがチェックし、その行動が本当に不正につながるのを判断していく。つまり、一つのアクションだけでなく、“前後のつながり”を含む複数の行動を分析し、それを膨大なリスクシナリオと照らせ合わせることで、精度の高い予測を実現しているのです。
——AIと専門アナリストを組み合わせている点も、大きなポイントといえそうですね。
川下 AIが機械的に検出するだけでは、不必要なアラートを出してしまい、過検知となる可能性があります。一方、人間による監査だけだと判断基準があいまいになりかねない。AIと人間を組み合わせることで、絶妙な精度が保てるのです。
加えて、お客様とは毎月の報告会を通じて定期的にコミュニケーションを取り、精度をより高めるためのヒアリングやチューニングも行うようにしています。また、IRIのウェブポータルには「ケース機能」というチャット機能があり、私たちが報告したリスクに対して、どのような対応を取るべきかといったご相談もお受けしています。
アフターコロナ時代の課題を解決するソリューション
——IRIを導入されるのは、どのくらいの規模感の企業が多いのですか?
川下 いちばん多いのは、社員数が1000名から3000名規模の企業様です。それ以上の規模になると、自社でリスク対策を内製化しているケースがほとんどです。しかし、最近は誰もが知っている大企業での情報漏洩がニュースになるなど、内部不正への注目度が高まってきたことで、大手企業での導入も増えてきました。
弊社の調査によると、大手企業であっても各種ログを組み合わせて、分析を行っているケースは3割ほど。多くは、事後的な調査と今後の対策にとどまっています。そうしたデータから見ても、IRIがお役に立てる企業は、今後も増えていくのではないかと思っています。
——リモートワークが増えたことで、個人の働き方が把握しにくくなるなど、さまざまな課題がみえてきました。IRIのようなサービスの存在感は、今後ますます高まるのではないでしょうか。
川下 リモートワークが広まると情報の持ち出しが容易になりますし、オフィス内での相互牽制もないため、機会の観点から不正が発生する可能性が高まります。また、さまざまなITツールがビジネスシーンに投入されると、企業側がそのすべてを管理することが難しくなります。IRIは、そうした状況で力を発揮するサービスです。コロナ渦でリモートワークに切り替える企業のなかには、働き方におけるリスクを検知する手段、すなわち労務管理ツール的な視点でも活用頂いています。
さきほどお話したように、IRIは「人のふるまい」にフォーカスして、ログの収集・分析を行うサービス。そのため、セキュリティ面だけでなく、超過勤務や不就労といった労務管理にも有効なのです。たとえばパソコンのログオン、ログオフの時間と勤怠データを照合すれば、申請時間以上の超過勤務が発生していないかなどの調査もできる。そのように、セキュリティの確保と労務管理とを兼ね備えているという点も、IRIの大きな強みだと考えています。
——最後に、IRIが「今後何を目指しているのか?」についてもお聞かせください。
川下 いま考えていることは、二つあります。一つは、これまでのような内部脅威だけでなく、外部脅威にまでリスク検知の領域を広げていきたいということ。IT業界の世界的なトレンドとして、ウィルスやマルウェアといった外部からの脅威に対し、侵入後のふるまいなどを分析して対策を立てることが重視されていますが、そうした外部脅威リスクの検知や分析にもIRIを活用していきたいのです。
そしてもう一つは、「IRIのログ分析を従業員のパフォーマンス向上につなげられないか?」ということ。たとえば社内で高いパフォーマンスを出す社員を抽出し、その人のふるまいを分析したデータをナレッジとして共有する。あるいは、仕事がうまくできていない人のふるまいを分析して、改善点などを導き出して伝えていく——。そうした取り組みを実現したいと考えています。テレワークの導入によるパフォーマンスの低下は多くの企業で課題となっていますが、そうした面にもIRIを役立てられたらいいですね。
▶Internal Risk Intelligenceサービスの詳細はこちら
===
※1 さまざまなログデータから「ヒト」の行動を解析し、企業内部での「異常行動」や、 その「動機」「可能性」「兆候」を持つ人物を検知・可視化し、重大なインシデントの発生を未然に防ぐことのできるサービス。
※2 サーバーやパソコン、スマートフォンなどの末端機器に対するサイバー攻撃、あるいは内部不正を想定したセキュリティ対策のこと
プロフィール
川下 巧(TAKUMI KAWASHITA)
データインテリジェンス本部 リスクインテリジェンス部長 経済産業省認定資格 情報セキュリティスペシャリスト保有(現情報処理安全確保支援士)。新卒にてエルテスに入社し、Internal Risk Intelligenceサービスの立ち上げメンバーに選抜。内部不正のリスクマネジメント支援を多数の企業に対して行う。