日本企業においても高まる内部脅威のリスクとは?
日本企業においても高まる内部脅威のリスクとは?
内部脅威によって引き起こされたセキュリティ事案を報道などで目にする機会が増えつつあります。米国の独立研究機関であるPonemon Instituteの2023年版レポートによると、内部脅威によってもたらされるコストは年間平均1,620万米ドルで、過去4年間に40%増加しています。また、内部脅威によるインシデントの封じ込めに平均86日かかったことがわかります。セキュリティ専門家のオンラインコミュニティであるCybersecurity Insidersが実施した326名を対象としたアンケートでは、74%の回答者が内部犯行による事案がより頻繁に発生していると回答。回答者の半数は、前年に少なくとも1回はそのような事案を経験したと回答しています。
日本でもここ数年、内部犯行によるセキュリティ事案の発生件数が増加傾向にあります。警察庁の発表によると、2022年には不正競争防止法に基づく営業秘密の不正取得で29件の検挙があり、記録を開始した2013年以降では過去最多です。
【本記事のサマリ】
- 日本でも社員による機密情報の持ち出しなど、内部犯行によるセキュリティ事案の発生件数が増加傾向。
- 組織内の重要情報へアクセス権を持ち、発覚しにくいなどの特徴から、内部脅威が引き起こすセキュリティ事案は高額な被害につながることも多い。
- 内部犯行者は下記3類型に分類できる。各類型の目的・動機などを理解した上で、自組織に必要・適切な対策を検討することが重要。
① 強要された内部犯行者
② 悪意のある内部犯行者
③ 不注意な内部犯行者
内部脅威特有のリスクとは
内部脅威とは従業員や委託業者など、組織内の犯行者によるセキュリティ脅威を指します。
【特徴】
- 内部犯行者は組織内におけるアクセス権限を有することから、犯行者の所属部門・担当業務・職階などに応じて、外部脅威よりも深刻な情報漏えい被害をもたらす可能性がある。2021年には、モバイル通信事業者の元従業員が5G技術に関する秘密情報を含む170点の情報を持ち出すという事案が発生。
- 内部犯行者は組織内のシステムや機密情報の在処を熟知しており、外部脅威よりも短期間で効率的に機密情報にアクセスすることが可能。2020年に回転寿司チェーンの元役員が秘密情報を持ち出した事案において、持ち出されたファイルは2つだけだったものの、寿司の原価や魚介類の仕入れ値といったメニュー開発や価格設定の参考となる重要情報が含まれていた。
- 内部犯行者は通常業務の一環として様々な情報にアクセスする必要があるため、正常なアクセスと異常なアクセスとの区別が難しく、犯行の検知・対応が遅れやすい傾向がある。2023年に発覚したテレマーケティング事業者での情報漏えいの事案では、元派遣社員が2013年から2022年までの長期間に渡ってデータ持ち出しを行っていたことが疑われているが、情報漏えいの事実は外部からの指摘があるまで発覚しなかった。
内部脅威が引き起こすセキュリティ事案は、会社にとって高額なものとなっており、ある調査によるとアジア太平洋地域の内部犯行者リスク解決にかかる平均費用は、2022年の1,190万米ドルから2023年には1,217万米ドルに増加しています。
内部脅威リスクが増加している背景
日本を含む世界各国で内部脅威によるリスクが増加している背景には様々な要因がありますが、コントロール・リスクスでは以下3つの要因が特に重要と考えています。
① ハイテク分野に影響を及ぼす地政学的緊張の高まり:技術革新を中心としたグローバル競争は、日本企業が競争優位を有する分野を標的にした、商業スパイの増加につながっていると考えられます。2023年10月には、ガラス瓶製造の大手企業から、超軽量ガラス瓶に関する技術情報を持ち出したとして元社員が逮捕されました。日本は、半導体および関連技術のグローバルなハイテク・サプライチェーンにおいて、研究開発から製造に至るまで重要な役割を果たしています。また、電気自動車産業、特にバッテリー技術における技術革新に関する知的財産の盗用も、この分野で活動する日本企業に影響を与える可能性が高いでしょう。
② 労働力の流動性の増大:米国では「グレート・レジグネーション」と呼ばれる大量離職に伴って内部脅威のリスクが大きく高まりました。日本においては高齢化、労働者の不足、若い世代の意識変化といった要因から終身雇用の概念が徐々に変化する中で、従業員が転職先へ重要情報を持ち出す機会が増えていることが考えられます。例えば、2022年に東京地方裁判所は、飲食宅配代行サービスの元役員が競合他社への転職に際して機密情報を持ち出したと報じられた後、競合他社で働くことを9ヵ月間禁止する判決を下しました。
③ アウトソーシングと外部業者への依存:業務効率化のため外部サービス業者やアウトソーシングの利用が増加したことで、サプライチェーンが複雑化し、より多くの人々が企業の重要情報にアクセスできるようになりました。重要情報へのアクセスは本来、審査プロセスや最小権限の原則などに基づいた厳格な管理が求められますが、運用負荷などの問題から、様々な人員によるアクセスの制限や監視に苦慮する企業が増えています。先述のテレマーケティング事業者での情報漏えいの事案では、元派遣社員による情報持ち出しを検知できなかったことで、最終的に個人情報やカード情報を含む900万件という大規模な事案にまで発展しています。
こういったリスクの高まりを受けて、企業は徐々に内部脅威を優先すべき経営課題として認識するようになってきています。一方で、内部脅威への対策は技術的な対策の導入に留まらず、重要情報の保管場所やアクセス管理といった業務プロセス、行動分析的な側面を取り入れつつ高リスクの従業員やスタッフを特定する人事プロセスなど、様々なステークホルダーを巻き込んだ複雑なものとなる可能性があり、多くの企業が対応に苦慮しています。
内部脅威アクターの3類型
コントロール・リスクスでは、内部脅威のリスクを検討する際に、以下3つの類型をもとに、それぞれの脅威アクターが企業にどのようなリスクをもたらしうるのか評価することを推奨しています。
① 「強要された内部犯行者」:外部の指示によってデータを盗んだりシステムへのアクセスを許可したりする内部犯行者。このタイプの内部犯行者は、諜報機関、競合他社、あるいは特定企業を狙った犯罪集団などから、金銭的インセンティブを提示されている、または身体的危害を加えるなどの脅迫を受けており、目的達成への決意が強いという特徴があります。また、検知を回避しつつ目的を達成するためのトレーニングやツールを提供されているケースもあり、特にリスクが高いといえるでしょう。
② 「悪意のある内部犯行者」:職場への不満、思想信条、金銭目的といった自身の欲求に基づいて行動する内部犯行者。このタイプの内部犯行者は、特定の目的をもって自らが既に所持するアクセス権限を悪用するほか、ハッキングツールを利用するなどして追加のアクセス権限を得ることもあります。強要された内部犯行者ほど目的達成への決意は強くなく、自らの行動が発覚する可能性があると感じれば、行動を思いとどまる可能性が高いという特徴があります。
③ 「不注意な内部犯行者」:悪意はないが、セキュリティポリシーへの違反により組織に危害を加える可能性のある内部犯行者。このタイプの内部犯行者は、例えば、期日までに仕事を完成させるため私用端末に業務データを送るなど、業務上の必要性に駆られていることもあります。悪意がない一方で、従業員が組織内で持つアクセス権限によっては大きなリスクとなる可能性があります。
それぞれの内部犯行者の類型が、どのようなシステム、機密情報に対して、どのような動機で、どのような手段で危害を加えうるか検討していくことで、各企業の特性にあわせて必要となる内部脅威への対策を詳しく検討することがができるでしょう。
コントロール・リスクスの提供価値
多分野に精通した専門家の知見を駆使し、従業員の採用から離職までの「従業員ライフサイクル」や、内部犯行者に影響を与えうる様々な内的・外的要因を考慮した総体的なアプローチによって企業の内部脅威リスクを管理し、内部脅威によってもたらされる事案を予防・検知・対応することを支援します。
各種アセスメントの実施、内部脅威リスク管理プログラムや知財保護プログラムの実装、既存プログラムや対策の評価、企業スパイや破壊工作を含む内部犯行に係る調査など、お客様のニーズに応じて多岐にわたる支援を提供します。詳細情報や具体的なご相談などございましたら、下記フォームよりお気軽にお問合せください。