ゼロトラスト時代における金融機関の内部不正の脅威と対策

「身近な脅威」となったインサイダースレット

インサイダースレット（Insider Threat）とは、組織内部者による組織への脅威のことを指す。その具体例の一つとして組織内部者による外部への情報漏えいが挙げられる。PwCが行った「経済犯罪実態調査2020」によると、過去2年間で経済犯罪・不正被害にあった日本企業は21%、そのうち主に組織内部者によるものが53%を占めている（図表1）。実際、近年こうした事案が多発しており、新聞報道によると不正競争防止法違反（営業秘密の漏洩）に係る摘発件数は過去最大を記録している。（図表2）。

組織内部者による情報漏えいには大きく二つの共通点がある。一つは、動機について、金銭や地位に対する欲求、処遇に対する不満があったことが報じられている点である。もう一つは、情報の漏えい先が業務上の関係者に留まらずプライベートな関係にまで広がっている点だ。前者については事前に動機を把握して対策を打つことも可能だが、後者については企業の従来のモニタリングでは早期の対応は困難と言わざるを得ない。

新型コロナウイルス感染症（COVID-19）拡大により在宅勤務やリモートワークが増え、個人所有のデバイスを業務に利用するBYOD（Bring Your Own Device）の流れも加速している。また、SNSの普及によって多様な人々とつながることができるようになり、悪意のある人物が情報窃取を目的にアプローチすることも増えている。

さらには最近の金融機関に見られる動きとして人材の流動化、副業・兼業の導入や、アライアンス先・外部委託先との連携が拡大しており、会社に対するロイヤリティの低下や、情報流出チャネルの拡大が懸念される。特に人材の流動化に伴い企業の営業秘密と個人のノウハウの境界があいまいになるケースも増えてきていると思われる。

このような環境変化に応じて、企業も被害者としての立場に加え加害者にならないように情報の流出入に対する手段を変えていかなければ、インサイダースレットによる経済的およびレピュテーション上の悪影響は、今後ますます拡大するものと考えられる。

企業が採るべき対策のポイント

それでは企業側はどのように身を守っていくべきだろうか。インサイダースレットへの対策は、従業員がどういう人物なのか（プロファイル）や、どのような行動傾向があるかを把握することで「動機」と「機会」を捉え、未然に予兆を把握する態勢を構築することがポイントになる。

まず、インサイダースレットの「動機」となる金銭や地位への執着、企業への不満の有無を把握することが肝要である。「動機」を捉えるには指標が必要であり、従業員の言動から傾向や特徴をデータとして補足し、指標を定めることができる。例えば、パフォーマンスの低下や上司からの注意の増加、不満についての発言やチャットなどは、インサイダースレットの前触れとして指標に反映してよい項目となる。このような特徴が見られる従業員を重点的にモニタリングするといった対策も有効だと考えられる。

次に重要なのは、不正につながる「機会」を捉えることだ。多くの企業はセキュリティの在り方として境界型防御を採用している。これは外部からの攻撃を防ぐには有効な手立てだが、内部からの犯行には無力となってしまう。社内外を問わず脅威が存在するゼロトラスト時代に突入している昨今、社内における不正をも捕捉するためには、機密情報へのアクセス権を持つ従業員の行動をモニタリングし、ベンチマークとなる通常値を把握した上で、異常値を捉えることが重要になってくる。

インサイダースレットは、外部の悪意を持った人物からの接触が発端になることが少なくない。このような接触を企業側が直接モニタリングすることは難しい。しかし、社外の人物とのやりとりに伴って生じる、通常とは異なる行動傾向を捉えることができれば、不正の予兆把握につなげることは可能である。例えば、ある従業員が業務外で悪意を持った人物から接触を受け、社内の機密情報を共有してほしいと依頼された場合、その従業員は、情報を探す行動に出ると考えられる。具体的には、通常アクセスしないファイルを多数開いたり、開いたファイルに対して編集をせずに閲覧、複製したりするなどの行動（異常値）が見られると予測される。従業員の常日ごろの言動をモニタリングし、通常値をあらかじめ把握しておくことで、異常値を捉えることが可能になる。

テクノロジーを活用したモニタリング

不正の動機や機会を広範に捉えるためには、テクノロジーを活用した高度なモニタリング態勢を構築することが必要だ。インサイダースレットの予兆を網羅的に捉えるためには、全従業員を対象に、業務に関わるあらゆる言動をモニタリングすることで、不正行動との関連性を見つけやすくなる。いざこれを実現するためには、膨大な量のデータのモニタリングが必要となるため、テクノロジーを活用した効率的な態勢を作る必要性が出てくる。

近年、機密情報アクセスなどの行動ログや、PC画面の操作記録、またテキストや通話によるコミュニケーションを解析して、その背景にあるセンチメント（感情や文脈の意図）を可視化するモニタリングツールが開発されており、これらを組み合わせて不正につながる予兆を補足していく（図表３）。単一のツールではすべてを捉えることができなくても、ツールの組み合わせにより、例えば会社に不満を持ち、転職意向を持った人物の、機密ファイルへの複数回のアクセスといった不正が疑われる行動を捉えていくことが可能になる。

このようなツールの中でも近年特に注目されているのが、AIによる分析機能を備えたコンテクスト系のツールである。例えばメールの文面から不適切な行為をほのめかすやり取りを検知することや、社内外の関係性を可視化して疑わしい情報のやり取りを捉えることが可能となり、実際に導入を進める金融機関が増えている。

並行して取り組むべきカルチャーの醸成

ここまでインサイダースレットの対策となるアプローチを紹介してきたが、同時に取り組むべきことは、そもそも不正を起こさないようなマインドセット、すなわち組織における正しいカルチャーを醸成することだ。不正を起こす動機の一つには、企業への不満がある。所属する企業が掲げているパーパスやミッション、バリューが日々の業務において実感でき、またそれらと経営層の言動が偽りなく一致したものとなっており、さらに従業員が考えや思いを安心してスピークアップできる環境であれば、不正につながる動機の創出の機会は低減すると考えられる。

カルチャー醸成の意義を不正のトライアングル(※)で考えると、「正当化」に影響する。例えば、かつての上司や同僚であった退職者が社内情報の提供を依頼してきたような場合、その上司や同僚との人間関係から漏えいを正当化してしまうようなケースがある。もしその企業に正しいカルチャーが醸成、浸透されていれば、そのような行動が法令に違反するだけでなく、倫理観や顧客に対する誠実性を毀損することに自ずと気付くはずだ。他には、自社の業績のために他社の情報を不正入手しようとしているケースで考えると、仮に不正に入手した情報で利益が一時的に上がったとしても、持続可能性が低いことは一目瞭然である。不正に情報を入手した会社はレピュテーションが下がり、長期的に企業価値が下がることにつながるからだ。

正しいカルチャーの醸成や浸透は短期間でできるものではない。しかし、トップのコミットメント（言行一致）や採用・評価を含む正当な人事制度の確立、上司の役割・責任を含むコミュニケーション改善、リスクに気付くリスクセンスの向上施策、個人の責務の明確化などにより、継続的に改善していくことが、不正の温床を発生させないために必要と考える。

米国の犯罪学者であるドナルド・Ｒ・クレッシーが提唱した、不正行為は「機会」「動機」「正当化」の3つの不正リスク が揃った時に発生すると考える理論。