1/6 PAGES
2/6 PAGES
3/6 PAGES
4/6 PAGES
5/6 PAGES
6/6 PAGES
これらの理由から、内部脅威への備えはCISOにとって、「今すぐ着手すべき経営課題」となっています。リスクの本質を見極め、攻めのセキュリティ戦略を描くことが求められています。
内部脅威を防ぐための多層的アプローチ
しかし、内部不正や内部脅威に対処するにはサイバー攻撃の対処と異なる観点が必要です。犯罪学者クレッシーの「動機・機会・正当化」理論をヒントに、それぞれを抑制する以下のような多層的な対策を講じることで、リスクを大きく低減できます。
① 可視性を確保する
「誰が」「いつ」「何を」「どこで」「どのデータにアクセスしたか」を正確に把握する仕組みを整えます。これにより内部不正の兆候をいち早く察知し、抑止効果を生みます。例えばログ管理やUEBA(ユーザー行動分析)ツールを導入することは非常に有効です。
② ポリシーと教育
BYODやクラウドサービス利用について明確なガイドラインを定め、教育することで「うっかり」の発生を減らします。テレワークのリスクを具体的に伝える研修や、過去の事例紹介も効果的ですが、行動を行おうとしているときに注意喚起をすることが重要です。
③ リアルタイム監視と抑止
異常行動を検知した際には、ポップアップで警告を表示したり、自動で動作を防止したりする仕組みを入れます。これにより「見られている」という意識を高め、不正を踏みとどまらせることができます。
④ 組織文化による動機抑制
普段から上司や同僚と円滑にコミュニケーションを取り、職場への帰属意識を育むことで「裏切る動機」を作らせない風土を醸成します。
大量転職時代の到来に伴い、従来の性善説に基づいた考え方で情報漏洩対策を行うことに限界がきています。外からの攻撃だけに目を向けるのではなく、内部からのリスクにも光を当てることが、これからのセキュリティ戦略の要になります。
また、企業のデジタルトランスフォーメーション(DX)が進む今、セキュリティはビジネスの成長を支える「両輪」の1つとして機能することが求められます。変革とスピードを追求する一方で、その基盤となるセキュリティが脆弱であっては、真のDXは成り立ちません。
内部からの情報漏洩は「起こりえるもの」として備える姿勢が、現代のCISOや経営層には求められています。「人」を中心にセキュリティを構築するHuman-Centricの多層防御こそが、企業の信頼と持続的成長を支える最も確かなセキュリティ対策となります。
