退職、決意した瞬間になぜバレた? 監視される社員の異常行動

企業で相次ぐ内部不正。だが、状況は変わりつつある(写真はイメージ)

 万が一の話だが、もし会社の機密情報を手土産に競合他社へ転職しようなどと考えている人がいたらちょっと待ってほしい。あなたの計画はとっくに見抜かれているかもしれない――。情報セキュリティー製品を販売するテリロジー社(東京・千代田)によると、近年は社員の不正を「予兆」の段階から検知することが可能になってきたという。一体どういう仕組みなのか。企業で相次ぐ内部不正の実態や最新の対策について、同社のエンジニアが解説する。

■増える内部犯行

 企業の情報漏えいと言えば、外部からのサイバー攻撃が一般的なイメージかもしれない。実際、巨額の投資を行い対策している企業は少なくない。だが、最近はむしろ「内部犯行」による漏えい事件が相次いでいる。

 ソフトバンクでは会社の営業秘密が元社員によって在日ロシア通商代表部の職員らに流出し、神奈川県では行政文書を記録したハードディスクが、データ消去を請け負った業者に持ち出され、ネットオークションで転売された。

 このほかにも、顧客情報の持ち出し、機密情報の競合他社への漏えいなど、内部犯行による事件は枚挙にいとまがない。企業にとってイメージ低下やこれまでに築き上げた信用の失墜といった大打撃につながり、被害額も大きい。今まさに対策が急がれる重要課題と言えるだろう。

 独立行政法人情報処理推進機構(IPA)が、2019年に発生し、社会的に影響が大きかった情報セキュリティー事案トップ10として発表した「情報セキュリティ10大脅威 2020」の組織ランキングでは、「内部不正による情報漏えい」が、昨年の5位から2位に上昇した。

 従業員が関与した内部不正事案は、企業の信用問題にも関わることから、公表されることは珍しく、実際にはさらに多くの事案が発生していると予想される。「働き方改革」の浸透が進み、テレワークの導入で働く場所や時間の自由度が高まれば、内部不正による情報漏えいの危険性は、今後さらに増えていくと考えられる。

■退職予定の社員が危ない

 では、内部不正による情報漏えいの実態とはどのようなものなのだろうか。

 IPAの報告によると、最も多いのが、USBメモリーの紛失やメールの誤送信といった現職従業員のミスによるものであり、全体の43.8%。次いで多いのが、退職予定の正社員による機密情報持ち出しの24.8%。通常のオフィス内勤務で起こり得る事象が上位のふたつで全体の7割弱を占めている。

IPA「企業における営業秘密管理に関する実態調査報告書(2017年3月)」

 また、営業秘密の漏えい先は「国内競合他社」が32.4%と最も多くなっている。漏えい先が「わからない」との回答が22.9%もあり、企業がその全容をつかみ切れていないという実態も浮き彫りになっている。

■不正を働く3つの要因

会社に対する不満やプレッシャーが内部不正の動機となる(写真はイメージ)

 なぜ内部不正を働こうとするのか。米国の組織犯罪研究者として著名なドナルド・クレッシーによると、「動機」「機会」「正当化」という3つの要因がそろったときに不正行為が発生するとされる。

 具体的には、人事に対する不満、金銭問題を抱えている、高いノルマを課されるといった、処遇への不満やプレッシャーが「動機」。

 広範囲にわたるシステム管理権限や、情報を持ち出すことが可能な環境、同じ業務を長期間担当するなど、不正行為の実行を可能にする「機会」。

 そして、自身の評価が正当ではない、サービス残業を強いられる、会社が悪いといった、身勝手で都合のよい解釈や責任転嫁といった「正当化」だ。

 これら3要因を軽減することが、内部不正防止策の基本であると言える。

■不正リスク、AIが未然に検知

 だが、防止策だけで果たして十分と言えるだろうか。内部不正リスクを未然に検知し、防ぐことも併せて検討することが必要だ。

 対策として代表的なものに、パソコンやサーバーなどに残される「ログ」(記録)の活用がある。

 ログとは、パソコン利用者による操作や設定の変更、外部との通信履歴、どのような情報をやりとりしたかなどを時系列で記録したもの。通常、ログは問題が発生した際の原因究明に用いられることが多い。

 ログにはさまざまな行動の軌跡が残されており、これらを活用することで、内部による情報漏えいの予兆を検知することも可能となる。

 具体的には、従業員ごとに通常時のネットワーク機器、サーバー、クライアントPC、セキュリティーソフト、モバイルデバイス、認証ログイン履歴、クラウドサービスなど、さまざまな機器やソフトウェアの動作状況のログといった多角的な行動データをすべて集積する。

 さらに、AIによって相関付けを行い、そこから外れたデータを検知するというものだ。通常の状態から外れた行為をスコアリングし、近い将来起こりうる不正行為の可能性をいち早く検知し、警鐘を鳴らす。

 また、従業員のオフィスでの実際の行動や、その行動によって起きる事象――例えば勤務実態は安定しているか、人事評価、近年の給与体系といったもの――に不満要素を抱えていないかなどにも注目する。

 そして、ログ上で通常とは異なる動きが発生した際に、人事情報などのデータベースを取り込み、それらの情報をログデータと掛け合わせて分析を行っていくことで、より精度を高めることが可能となる。

■退職を決意した瞬間から異常行動

 実際に、退職を決意したその瞬間から「異常」な行動は起きうる。具体的には次のようなものだ。

①これまでアクセスしたことがない社内イントラのフォルダにアクセスをする

②取引先実績がない企業にメールをする

③通信量が急増する

 このようなPC操作上での行動のほか、

④遅刻が増える

⑤タイムカードを押さずに出社時間を手入力するようになる

 などといった、行動そのものにも変化が現れるものだ。

 ログデータに人事情報などのデータを掛け合わせるとなると、いわゆる情報システム部門だけではなく、人事・総務といった部門間連携が必要となり対応のハードルは上がるが、予知に対する精度は高まる。もっとも、まずはログの活用だけ試してみるのも効果的だ。

© 一般社団法人共同通信社