昨年後半から、サイバーセキュリティ業界でも「内部不正対策」の議論が聞かれるようになった。同業他社に転職する際に機密情報/顧客情報を持ち出したという案件もあったし、通信キャリアで派遣社員が長期にわたって1,000万件ほどの顧客情報を持ち出した事件が、関係者に衝撃を与えた。その結果、
・ソフトバンクでは「ゼロトラスト」アーキテクチャによる構造改革
をしていると伝えられる。そもそもインターネット経由のサイバー攻撃が外部からくる以前から、内部のデジタル窃盗や詐欺は存在していた。銀行員が取引におけるセント以下の金額を自分の口座に振り込ませるプログラムを書いたのが、最も古いサイバー犯罪と聞く。
私自身も、銀行向けのPCにエンドユーザが時計(*1)を触れられなくする仕掛けを売りに行って、プライドの高い銀行マンから「当行に犯罪者がいると言うのか!」と激怒されてしまったことがある。外部から内部犯行防止を勧められたので、お怒りになったのだろうと思う。
内部不正対策として、IPAもガイドラインを公表しているし、日経クロステックも「内部不正対策5カ条」を掲載している。
内部不正対策はサイバー攻撃対策より難しい、基本の「5カ条」を徹底する | 日経クロステック(xTECH) (nikkei.com)
3項目目の「データを重要度で分類する」は、「ゼロトラスト」で整理しなくてはいけない6要素のうちで一番難しいもの。一般企業では、機密・重要情報をひとくくりにしてより厳重な管理をするくらいが精々だろう。
ある企業では、PCを全てシンクライアント化してアクセスログもとり、重要情報にアクセスがあった場合、その人物の上司やさらに上司に通報が入る仕掛けをしている。退職が近いなどの特別な条件下にある従業員には、大量にアナログコピーしていないかなどのチェックもするという。
従業員を信じるという建前はいいとして、実際に被害事案が増えてくるとこのような管理は必要になるのだろう。内部不正は、DXによって迅速に大量に行える余地ができた。まさに、古くて新しい問題である。
*1:銀行業務は時間によってアクセスできるアプリやデータベースの規定があり、時計を操作することでこの制限を逃れて何らかの工作が可能になる。