内部不正の根本解決は職場改善につながる
身近に内部不正を耳にしたことがあるかと聞くと意外と多くの人が経験されています。実際2020年の情報漏えいの原因第1位は退職者による秘密情報持ち出し(36%)です。
話を聞いていると場当たり的な対策が多く問題の根が残ったままである判りました。
大人数がリモートで作業する昨今の企業の環境では内部不正が手遅れなところまで進行しやすい状況があります。
ただ場当たり的に守るだけでなく、根本的解決を通して職場改善につなげていくのかに関して伝えられればと考えております。
実際2020年の情報漏えいの原因第1位は退職者による秘密情報持ち出し
内部不正は人と組織の脆弱性として捉える
脆弱性の指摘項目として、内部不正の可能性に関して指摘していますでしょうか?
「ゲームでチートができることは脆弱性と捉えるのは抵抗がないが、内部不正は脆弱性と聞くと違和感がある」は不自然ではないでしょうか?
どちらも仕様上のプロセスの脆弱性を突いて悪用して、利得することであり、発生する確率には差異の考慮はあれど脆弱性(バグ)がないことは無いはずです。
要因として「外部診断ベンダーから内部不正の疑義は指摘されない」が挙げられるでしょう。外部診断ベンダーをやってきた立場からすると監査ほど利害関係からの独立している訳でなく、内部の業務フローが完全にブラックボックスの中で指摘するのは困難です。一方、ゲームでチートする立場にはなれるため具体的な根拠をもとに指摘できます。従って余程強い根拠が得られないと内部不正の疑義を脆弱性として挙げることが困難であり、指摘できるとしたら内製の脆弱性診断チームのような立場になるかと考えられます。
「そもそも内部不正なんて身近に実感してない」と言う皆さんに、職場で以下に当てはまる業務の状況を見たことはありませんか。
・マーケティングやAI分析などで利用規約に明記していると言えないデータ利用がある
・業務手順にない代理承認や自己承認ができるなどの業務プロセスのバイパス
・ログ証跡の連続性が途絶えるなど責任追跡性の問題が放置されている
・重要情報の取扱い時に同時に立ち上がっているアプリケーションが監視されていない
組織としての方針や取り決め、お客様との契約や同意、法律に基づいている範疇が「正しい」行為の範囲であり、これらに基づかない運用は広義には「不正」となります。
そんなこと監査で指摘されるべきことなのではと言う声も上がりそうですが、すごく簡単に言えば監査は「手順やプロセスを守れる状況にあるか」を見ています。
従って監査によって指摘される内部不正もありますが、「手順やプロセス」を根本から無視して悪用する観点で見ているかまで保証するのは厳しいと判断せざるを得ません。
また、内部不正は技術的脆弱性以外の脆弱性と組み合わせて発生する点も発見・指摘を困難にしている要因と言えます。
技術的脆弱性以外の脆弱性も並べた以下の表を見ると判りやすいと思います。それでは次に事例から内部犯行の対策に関して考えてみたいと思います。
| 脆弱性種別 | 脆弱な例 | 対策 |
|---|---|---|
| 組織的脆弱性 | 職権濫用 (申請者と承認者が同じ) ポリシーの形骸化 プロセス不備 | 職権分掌と統制・管理 |
| 人的脆弱性 | 誘導尋問耐性不足 脅迫・善意による情報提供 独断による逸脱 | 教育・訓練・監督の運用 |
| 技術的脆弱性 | アクセスコントロール不備 設定不備、実装不備 | 脆弱性管理 ポリシー非準拠検知・対応 |
| 物理的脆弱性 | 災害耐性不足 入退出管理不足 盗難・紛失対策の不足 | 物理的冗長化管理 物理的危殆化管理 |
内部不正の検知には組織としての方針や取り決め、お客様との契約や同意、法律に基づいていない行為を指摘できる運用が必要
情報の持ち出しの事例から考える暫定対策と恒久対策
次の事例は恒久対策まで出来ておらず再び情報漏えいが起きてしまう事例です。どう対策すれば根本対策となるのか考えてみましょう。
請負契約で作業していた作業員が請負元からの業務連絡を受け取るための私用携帯を用いて、サーバ機から顧客情報が持ち出されたことが判明したという事件がありました。 被害のあった企業ではUSBにより持ち出しは対策していたが、スマートフォンを音楽プレイヤーとして認識させ情報を転送させる方法についてはブラックリストで禁止していなかったためと判りました。 そこで音楽プレイヤーとして認識させ情報を転送させる方法をブラックリスト化し、検知できることを確認し対策としました。
「発注元で電話貸して、ブラックリスト方式をやめてホワイトリスト方式にすれば良いじゃないか」と思われるかもしれません。しかし、現実的にはそんなに簡単ではありません。
業務請負で発注元が指揮命令すれば違法ですし、厚生労働省の基準で「必要な機材は請け主が用意するもの」なっており「発注元が貸与して指揮命令を完全になかったことを示すことができる運用」はなかなか困難でしょう。
またホワイトリスト形式で許可・不許可を行う運用が申請過多で逼迫し、ミスや形骸化していく姿もたくさん見てきました。
統制の力で押さえつければ言うと面倒無ことになるとシャドーITが発生し新たな情報事故の温床になりかねません。
イタチごっこになる原因は根本を押さえていないからです。
つまり、私用携帯の問題やブラックリストの漏れは枝葉の問題であり、対策すべき問題は「顧客の情報が保管しているサーバから漏洩したこと」です。
事例の問題では一つの通信経路を確保すれば顧客情報が持ち出せる状態となっています。サーバそのものを持ち出す方法であればブラックリストでは太刀打ちできません。
この事例を見た時、以前スマートデバイスを決済端末にするアプリケーションの診断した際のことを思い出しました。この診断でWifi経由で不正操作可能と指摘したところ、暫くして対策としてWifi起動自体をできなくし、Wifi起動時処理を実行できない実装にしたので脆弱性はなくなったか確認して欲しいと依頼がきました。すると今度はBluetoothでアプリファイルを転送して設定変更することできたと報告したことを思い出します。
根本対策の観点が抜けているとイタチごっこを続けることになります。
セキュリティの基本原則として情報資産は存在することが知られていもなお安全であるようにしなければなりません。
具体的に今回の例で言えば暗号化することで安全が担保されます。この暗号化自体も暗号鍵の管理を別の場所で行わなければ意味をなしません。
AWSであればKMSとAWSのSecrets ManagerまたはParameter Storeを組み合わせて実現可能です(Secrets ManagerかParameter Storeかはキーローテーションの設定の有無で使い分けます。)
このようにまず問題が発生した場合、暫定対策の目的は被害拡大の防止であり、根本対策が有効となっている客観的なエビデンスを得て初めて問題解決となります。
つまり根本対策までやり切るには、初動対応・保全から事象分析、解決の確認まで時系列に沿った客観的な証跡を取得・管理できる仕組みを予め運用できている必要があります。
暫定対策はあくまで被害拡大の防止、根本対策には問題事象の発生までのを構造的に俯瞰し原因と発生事象の関係性を排除または有効にコントロールできるようにすることである
内部不正の根本原因を解決すると職場環境が改善する
何が内部不正の解決を難しくしているのか?内部不正は機密情報にアクセスできてしまっているとこまでは前提に含まれます。境界防御のようなアクセスさせない単純な策ではなく、利用者も悪用者もいる状態で悪用を構造的に捉え悪用の条件だけ破綻させる運用可能な策を考える必要がある点が困難な点です。
内部犯行という課題を分解する
内部不正とは、委託先も含む自組織の管理下にある人員が故意またはミスによって、引き起こす違反行為です。意図せず手順を飛ばしてしまうことや契約にない業務を指示してしまうことも含まれます。自社の従業員を対象にした内部統制の観点では足りずサプライチェーンに対するセキュリティ統制も含めたスコープで考える必要があります。
内部不正は大きく意図せず発生させてしまう内部不正と意図した行為がもたらす内部不正(バイオレーション)に分解できます。それぞれを構造的に理解し対策を考えてみましょう。
意図せず発生させてしまう内部不正の対策を考えるためのポイントとは?
意図せず発生させてしまう内部不正といってイメージが湧くでしょうか。Reasonの不安全行為の分類に従って挙げると「行為の省略(lapse)」「実行 しようとする判断は正しいが異なった行為の実行(slip)」「および、判断そのものが誤り (mistake)」に分類されます。これらは意図しない内部不正を生み出す要因ではありますが、人間の行動特性が故リスクをゼロにすることができないのは自明です。捉えるべきはリスクコントロールできない状態になる要素とそれが脅威となる条件です。意図せず発生させてしまう内部不正は、要素と条件が仕組み上同時に成立させない運用の設計が必要となります。
例えば怪しいメールを開いてしまい同じパソコン上の重要情報が流出してしまうリスクシナリオは、メールを開くパソコンと重要情報を扱うパソコンが互いに繋がらない形で運用されていれば良いことになります。別のパソコン業務効率が落ちると反論されることが想定されますが、メールが届く時点で添付ファイル、URL、本文に分離し添付ファイルを開くサンドボックス環境、環境が分離したブラウザ環境、メールを送受信する環境を見かけ上は一つの画面で見るようにすることは技術的に難しいことではなく、反論で想定した問題をクリアする提案にも繋がるかもしれません。
メールの送信チェックツールやパスワード表を運用するよりも、機微な資料は全て認証が必要なWebサービス上のみでやりとりをし、メールをするにしてもそのURLを記載し最低限の要件だけ伝える運用の方が慣れれば楽だと実感するでしょう(そのうち通知も自動連携した方が良いという流れになればさらに安全な運用になります)現場に寄り添いながら徐々にセキュアな方が楽だと実感させていくことが是正策導入の現場では大切になります。
意図せず発生させてしまう内部不正には、人間の行動特性が故リスクをゼロにすることができない前提の下、許容な範囲を超える事象を構造的に捉えリスクコントロールしていくことが大切
意図した行為がもたらす内部不正は性質と範囲を構造的に理解することが大切
次にバイオレーション(違反行為)とも呼ばれる意図した行為がもたらす内部不正について考えてみます。
意図した行為がもたらす内部不正は規則軽視、規則無視、リスクテイキング、規則逸脱、誤規則順守に分類されます。意図した規則違反はリスクテイキング(あえてリスクを取る行為)も含まれる点を注意しなければなりません。また規則逸脱には創意工夫違反といって作業効率化など業務上よかれと思って工夫した行為が契約や法律、規則に抵触するといったことも含まれます。これらを踏まえた上で意図した行為がもたらす内部不正を構造的に捉えてみましょう。
内部不正を構造的は不正のトライアングル「動機」「機会」「正当化」で考えると良いでしょう。「実行可能性」も加えた不正のダイヤモンドや傲慢さ(Arrogance)を加えた不正のペンタゴンなども提唱されていますがシンプルに物事を捉えるには不正のトライアングルの方が有用です。
このモデルは「動機」「機会」「正当化」の3要素が揃うことが不正行為が発生することを意味します。
「正当化」という言葉が示す通り、実行者にとって少なくともやるのは「仕方がない」と考えており「自分の行為が悪い」と思っていないことはままあることであることを前提にする必要があります。
三井住友銀行などのソースコードが流出 “年収診断”したさにGitHubに公開かというニュースが21年の1月ごろあったのを覚えていますでしょうか。
転職サービスにある年収診断を「利用」するために企業のソースコードをGitHubにあげた後、SNS(twitter)上でのヘイトスピーチをきっかけに本人のfacebookが発見され本名・年収そしてgithubが見つかりSMBCの名前が確認できるソースコードが見つかりソースコードが誰にでも見られる状態になっていることが発覚したという事件です。
注目すべきは流出された企業も、流出させた従業員の所属する企業も発見できていません。しかし、不正のトライアングルの観点で見ると「動機」「機会」「正当化」がしっかり揃っています。
動機 → 年収診断したい(年収upしたい)
機会 → 企業のソースコードがDL可能な環境
(手段 → Githubで年収査定を行うサービス(Findy))
正当化→営業からこのような行為はダメだと明示されていなかった。
この場合、組織にとってコントロールできるのは「機会」です。機会と手段を分離し、ソースコードをダウンロードできないようにするか、ダウンロードできる環境とアップロードできる環境を分断するかを達成すれば良いことになります。一方、正当化は説明の上念書を書かせる、動機は評価基準の透明化で一定の低減には繋がりますが根本対策にはなりません。
制限してログを取るだけでは対策にならない、要素をいかに運用上のコントロール下に置くかがポイント
では汎用的に組織の防衛策を考えていきましょう。まず、ログを取ることはインシデントを起こさないことの対策にはなりません。牽制効果や検知/対応へ貢献することは間違い無いですがそもそもインシデントを発生させる根本原因を除く対策にはなっていません。不正のトライアングルの「動機」「機会」「正当化」を可能な限り組織のコントロール下に置けるような運用にすることが汎用的な対策となります。
「動機」へのコントロール:動機・プレッシャーの除去・ 軽減が対策になります。軽減とあるのは業務には一定のプレッシャーがなければむしろ意図しない内部不正の原因になってしまう可能性があるからです。動機 にはマイナスの面のプレッシャーとプラスの面のインセンティブに分類されますが、具体的な数字目標が与えられた場合に、激しく叱咤されることを恐れ不正をする、周りから一目置かれたいから競争に勝ちたいからと不正を行うといったように同じ要素でも捉え方次第でマイナスの要因にもプラスの要因になるといったことは往々にしてあります。
「機会」へのコントロール:機会の剥奪・監視(けん制) の強化、持ち出し手段の順位はUSB、メール、Webサービスとなっていますが、先の例のようなWebサービスを介した持ち出しは増える傾向にあり今後も増えいていく恐れがあります。メールも送信だけでなく下書き保存を利用して、私用端末で社用アカウントにログインし盗み出す可能性があります。この場合、社用アカウントへの監視、管理ポリシーの適用を実施し、その実施の旨を周知して牽制を行うことが対策になります。
秘密保持契約を締結している企業は 36.4%から 44.6%(8.2%増)と牽制効果のある施策は増えたが、人の目という最大の抑止力のない状態では機会の剥奪まで踏み込まなければなりません。職務から離れた際に直ちにアクセス権限を剥奪する仕組みなどがこれに当たります。技術的には個人アカウントに直接、アクセス権限を割り振るのではなく、アカウントグループにロール(役割)を割り当て、個人アカウントを参加させることでアクセス権限を素早く剥奪する仕組みが構築可能です。AWSでもIAMユーザに直接ロールを振らず、IAMグループにロールを割り当て、IAMユーザを参加させる形式を推奨しています。
「正当化」へのコントロール:不正を正当化できない環境の 醸成・維持のため、組織として強化すべき力は監視力、予測力、学習力、即応力の4つです。
最後に業務プロセスを動機、機会、手段の観点で見直し、リスクコントロールがない状態になっていないか見直すことが大切です。
業務プロセスの設計時に不正のトライアングルの動機、機会、手段の観点で事象がコントロールされない状態になっていないか検証し、定期的に見直していくことが大切
繰り返して社会から信頼を失わないため、職場改善のため実施する内部不正対策が成功する
本投稿の終わりにIPAの「組織における 内部不正防止ガイドライン」にまとめられている「内部不正防止の基本原則」が非常にまとまっているので最後に、原則と不正のトライアングルとの対応を確認しバランス良い対策ができているか見直してみましょう。
犯行を難しくする:「機会」へのコントロール 対策を強化することで犯罪行為を難しくする ・捕まるリスクを高める:「機会」へのコントロール 管理や監視を強化することで捕まるリスクを高める ・犯行の見返りを減らす:「動機」へのコントロール 標的を隠したり、排除したり、利益を得にくくすることで犯行を防ぐ ・犯行の誘因を減らす:「動機」へのコントロール 犯罪を行う気持ちにさせないことで犯行を抑止する ・犯罪の弁明をさせない:「正当化」へのコントロール 犯行者による自らの行為の正当化理由を排除する
IPAの「組織における 内部不正防止ガイドラインが組織の役割や場面ごとにもわかりやすくまとめられており最低限これだけ読めば明日からの皆さんの組織改善の一歩を踏み出せるかと存じます。
長文となりましたが内部不正は組織としての方針や取り決め、お客様との契約や同意、法への遵守を前提とした事業活動が現場とコントロールが乖離した際に発生します。裏を返せば社会から信頼を得て、従業員から信頼を得て事業活動していくことにつながる活動が内部不正への是正活動となります。
現状内部不正に対しては課題感に対して理解が浸透していない分野です。業務で内部不正対策を技術的観点も含め洗い出した人であれば理解いただけると思いますが、内部不正はITが生まれるずっと前から存在し参考にすべき資料や情報は膨大にあり全体像を捉えるのが大変困難です。そんな皆様に活動の意義を与え踏み出す一歩の一助になれば何よりです。
IPAの「組織における 内部不正防止ガイドラインは一読してみましょう
内部不正対策は繰り返して社会から信頼を失わないため、職場改善のためという目的を忘れない
以上です。参考になれば幸いです。