ユーザーのプライバシーを侵害することなく、危険な行動をしていないか監視するには、どうすればいいのでしょうか。セキュリティ担当チームはこの厄介なジレンマに悩まされ続けています。両立は容易ではありません。セキュリティを重視しすぎると、従業員のプライバシーを損ないかねません。逆もまたしかりです。しかし、均衡点を見つけることは可能ですし、見つけなければなりません。内部不正対策プログラムを効果的で信頼できるものにするには、このつり合わせ作業を組み込む必要があります。
このブログ記事では、データプライバシーとセキュリティの両方のニーズに対応できる、堅牢な内部リスク対策プログラムの構築に役立つ10個のベストプラクティスをご紹介します。
1:プライバシー・法務関係者を最初から巻き込む
早い段階から、適切な人に議論に参加してもらう必要があります。プログラムの設計段階から、プライバシー委員会や労働組合といったグループに、プログラムに関与するよう働きかけてください。これにより、プライバシーの重要な側面に早期に対処できます。プライバシー委員会や組合は、倫理面や法務面で考慮すべき重要な知見を提供してくれます。
ですので、一度参加してもらったら、最後まで関わってもらってください。プログラムの目標、範囲、プロセスについてこまめに連絡を取り合うことで、セキュリティ担当チームとプライバシー推進者の間に信頼関係を育むことができます。チームはプライバシーが第一の関心事であることを行動で示し続けることになるので、最終的にはプライバシー推進者として認められることになります。
例
これから内部リスク対策プログラムを展開するのであれば、計画段階からプライバシーオフィサーに関わってもらいましょう。これにより、プログラムをGDPR(EU一般データ保護規則)やその他のデータ保護規制に準拠させることができます。プロアクティブにプライバシーの懸念に対処していれば、PII(個人識別情報)の扱いで違反してしまうことはありません。
2:プログラムの適用範囲と報告のしきい値を定義する
内部リスク対策プログラムの重要な要素の一つは、境界線を明確にすることです。何をもって「リスクのある」アクティビティとするかを定義してください。これは通常、会社にすでに備わっている、行動ポリシー、コンプライアンスポリシー、セキュリティポリシーなどに沿ったものとなります。また、どの行動がどのレベルのリスクにつながるか、リスクのある行動がどの段階まで進行したら、踏み込んだ調査が必要となるか、これらを明確に定義することも重要です。これにより、行き過ぎた監視を防ぐとともに、リスクの大きさに応じて監視作業の負荷を減らすことができます。ちなみに、会社のセキュリティポリシーは社内で周知すべきものですが、セキュリティのためのしきい値や検知能力は、知る必要がある担当者以外に知らせてはなりません。
例
ユーザーが大量の機密データをダウンロードしていると、それをプログラムが検知するとします。個々のユーザーが通常ダウンロードするファイルの数をしきい値として、その値を超えたらアラートを発するように設定してみましょう。離職リスクとみなされる場合やセキュリティ制御を回避している場合のしきい値を設定することも有効です。これによって範囲が絞られ、アナリストが無害な行動の分析に時間をとられる可能性をかなり下げることができます。リスク低減の世界において、これが起こらないという完全な保証はありません。だからこそ、次の8つのベストプラクティスを実践することが非常に重要です。
3:透明性を確保しつつ慎重に伝える
多くの場合、一般の従業員にとって、内部リスク対策プログラムは神秘のベールに包まれています。残念ながら、これが噂や不信を招きます。それを防ぐために、可能な限り、こちらから周りに説明して透明性を確保しましょう。そうすることで、このプログラムが組織の目標とコアバリューに沿ったものであることを明確に示すことができます。
プログラムがもたらすポジティブな成果を知ってもらうことも重要です。また、プライバシーを守る仕組みが組み込まれていることや、そもそもなぜこのプログラムが必要なのかを、全員にしっかりと伝えましょう。透明性を確保することで、プログラムの怪しさを払拭し、プライバシーが尊重されていることを従業員に知ってもらい、安心してもらうことができます。
透明性と同様に、裁量も重要です。発生したアラートや調査内容の詳細は、決められたグループ以外の人に明かされるべきではありません。これにより、人々が制御をかいくぐることを防止できます。
例
プログラムにポジティブな結果が見られ始めたら、ケーススタディにまとめ、機密情報を伏せた上で、社内で共有しましょう。プログラムのおかげで異常を検知でき、セキュリティ侵害を未然に防ぐことができたこと、そして、仮にその侵害が発生していれば、どれほどの財務的・風評的被害をもたらしたか、そういったことをケーススタディに盛り込みましょう。これにより、従業員がプログラムの価値を認め、信頼してくれるようになります。結局のところ、悪意で害を及ぼす内部関係者は例外的な存在であって、ほとんどの従業員は、長年自分が働いてきた会社を守りたいと考えています。
4:明確な共有ポリシーを打ち立てる
内部リスク対策プログラムに関する詳細については、何を共有していいかについて、明確なポリシーを打ち立てる必要があります。情報共有ポリシーでは以下の項目をカバーしてください。
- トレーニングと意識向上イニシアチブ
- プログラムの範囲と目的
- プログラムを支えるテクノロジー
- 分析の結果
- 検知、しきい値、調査対象、監視者などに関する詳細
- 正式な調査の結果
データを隠しすぎるのも、共有しすぎるのもいけません。隠しすぎると、プログラムに不透明な部分が多くなり、誤解や不信を招いてしまいます。効率も低下し、さまざまな角度からリスクを低減する上で役立つ、主要パートナーとのデータ共有も不可能になります。
プログラムの目的から逸れず、調査相手の名誉を守り、調査で妥協せず、いつ誰と何を共有するかを正しく判断しなければなりません。これらを可能にできるバランスを見極めることが大事です。特定のデータにアクセスできる人を明確に定義し、ポリシーとして適用することで、情報漏えいや不正使用のリスクを低減できます。
例
組織がケース管理システムを使用して機密の調査データを保存している場合、適切な人がこのデータにアクセスできるようにしてください。これにより、適切な人に完全な詳細が提供され、その人は調査における自分の役割を全うできます。また、チームの全員がすべてのケースにアクセスできるようにすることは、避けてください。他の例として、ベンチマークまたはメトリクスに関する大規模な組織の会議があります。トリガーに関する機密情報が他のチームに知られないようにしてください。制御では検知されない、アクティブな脅威となる可能性があるためです。
5:プライバシー基準を満たすテクノロジーを使用する
テクノロジーはプライバシー保護において大きな役割を担います。したがって、使用するツールは、組織のプライバシー要件を満たすものでなければなりません。以下の機能について考慮してください。
- ユーザーの匿名化
- 仮名化
- ウィンドウのみにフォーカスする視覚キャプチャ
- 暗号化
- カスタマイズ可能なロールベースのアクセス制御
- 高リスクの技術的行動に基づいて強化された監視
プログラムを支えるテクノロジーは、リスクあるアクティビティをその都度検知できるとともに、柔軟性があり、調査目的で収集するデータの絞り込みが可能でなければなりません。さらに、データの保護・保存方法を効率化できなければなりません。組織のプライバシー基準に基づいて特定の地域にデータを保存するなどです。
例
ユーザーアクティビティのログを作成するセキュリティ監視ツールを使用する場合、そのツールには、収集したユーザーデータを匿名化する機能が備わっていなければなりません。つまり、アラートを発動させたユーザーの氏名や従業員IDが、そのままログに記録されてはなりません。代わりに、匿名化された一意の識別子がログに記録されなければなりません。これによってアナリストは、機密の個人情報を目にすることなく、行動を調査することができます。
6:ツール全体でデータフローとABAC (属性ベースのアクセス制御)を確保する
内部リスク対策チームは多くの場合、SIEMやケース管理ツールといった、共有されているテクノロジーを活用して、潜在的脅威を特定し、対応しています。しかし、データフローやアクセス制御に入念な注意を払うことなくこれらのツールを連携させると、機密データが意図せずさらされてしまう可能性があります。ツール間を行き来するデータを、その途上で保護するための計画を策定しておくことが重要です。
組織のデータのプライバシーを維持するために、ABAC (Attribute-Based Access Control/属性ベースのアクセス制御)を、すべてのツールに適用してください。つまり、チームごとに、その役割、そして必要とするデータに基づいて、アクセスレベルを明確に定義してください。
例
SIEMを用いてセキュリティログを集約および分析している場合は、PIIあるいは特権の人事データといった機密メタデータがSIEMに取り込まれないようにしてください。代わりに、内部リスク対策チームが、こうしたデータに個別にアクセスできる必要があります。こうすることで、このデータをセキュリティオペレーションアナリストにさらすことなく、リスクを調査できます。セキュリティオペレーションチームは、その役割に必要な、イベントデータ、ログ、アラートにアクセスできる必要があります。機密のユーザーデータは、閲覧することが許されている特定の内部リスク対策チーム以外の人には、絶対に見えないようにしてください。
7:強力な監視と説明責任を確立する
内部リスク対策チームにも監視が必要です。これは、内部リスク対策チームがユーザーアクティビティを監視するテクノロジーの使用を任されている場合は特に重要です。不正使用を防ぐには、分析から認知バイアスを取り除きます。信頼性を確保するには、「ウォッチ・ザ・ウォッチャー(見張りを見張る)」監視プログラムを実施します。このプログラムには、検知ポリシーを変更できる管理者レベルのアクセス権を持つ人や、トリアージや分析を行う人といった、テクノロジーにアクセスできる人を正式に監査できる仕組みを盛り込む必要があります。
監査の公平を保つために、別のコンプライアンスチーム、または社内の内部リスク対策チーム内のその役割に割り当てられた人が、監査を行うことが推奨されます。このような監視により、プライバシーとセキュリティの両方に対するコミットメントを示すことができます。また、チームの倫理基準を維持することができます。誰も監視から除外してはなりません。最高レベルのアクセス権をもつ人であっても監視し、不正使用の可能性を抑えるべきです。どのようなイベントも、トリアージ後は裁判所で提示されるケースとなる可能性があり、ユーザーのプライバシー法に関連する精査に耐えるものでなければなりません。
例
ある変更がなされた後に、ある危険行動が検知されました。その危険行動は、もしその変更がなされなければ、検知され得なかったものです。その危険行動は、やがては違反行為と判定されるにいたりました。この場合、変更を行った人とその日時を含め、変更を正当化できる詳細な理由が求められます。これにより、この変更は承認されたものであって、特定の個人に狙いを定めてなされたものではない、と示すことができます。
ケースレビュープロセスの一環として、強力な多層型監視を実装してください。これにより、無意識のバイアスを排除し、報告されるデータの事実性を確保できます。
アラートをどう処理するかなど、ワークフロー関連の項目を監査することも重要です。これにより、アナリストがアクセス権を悪用したり、自分で自分のアラートを承認したりするのを防止できます。これらが許されてしまうと、アナリストが監視から除外されてしまうことになります。
8:明確な手順で利益相反に対処する
内部リスク対策プログラムにおいて利益相反は避けられません。そのため、利益相反に対処するための手順を作成しておくことが重要です。利益相反の可能性があるケースは、速やかに別のアナリストに引き渡されなければなりません。これによって客観性とプライバシーが維持されます。これらの手順を明確に定義することで、バイアスのリスクを低減し、調査の公平性と透明性を維持することができます。
例
例えば、アナリストが、個人的に知っている同僚の不審な行動を調査しているとします。バイアスを排除するため、このような場合には即座に別のアナリストまたは管理部門へ調査を引き渡すよう求めるポリシーを策定しておく必要があります。これにより、利益相反によって調査の信憑性が損なわれることを防止できます。
9:プライバシートレーニングをチーム開発に組み込む
プライバシーは、ただ組織が守っていればいいだけのものではなく、セキュリティチームの業務の根幹をなすものととらえるべきです。そのため、ユーザーアクティビティの監視(UAM)に関連した定期的なプライバシートレーニングが欠かせません。これによってアナリストは、踏み込んでいい範囲や責任の境界線を常に意識することができます。また、認知バイアスへの注意力も磨かれます。利用規定と同様、これらのルールは、違反に対する明確かつ厳重な処分を含め、厳格に適用する必要があります。
例
チームの年次トレーニングの一環として、アナリストが厳格なプライバシーポリシーに準拠しながら、潜在的な内部不正調査を行うシミュレーションを実施してください。これにより、チームは不必要なデータにアクセスしてはならず、その役割の範囲内にとどまるべきであるといった考えを強化することができます。
10:データ収集を常に微調整して行き過ぎを防ぐ
結局のところ、内部リスクアナリストは、リスクを低減して組織を保護するという仕事のために最低限必要なデータだけにアクセスしたいと思っています。そこには、どうしても内部の従業員データが含まれます。不必要なデータが収集されることのないよう、監視の仕方を継続的に見直すことが大事です。例えば、意図せずプライバシーが侵害されることのないよう、医療関連や法務関連の文書は、監視からはっきりと除外する必要があります。
例
監視ルールに変更を加えた結果、従業員個人の予定や会議メモからのデータのログが急に増え始めた場合は、ルールを見直して影響を抑えてください。ただし、組織へのリスクを低減するというプログラム本来の能力が損なわれないようにしてください。この点について、前述の主要な利害関係者に意見を求めることをおすすめします。
バランスの取れたアプローチは不可能ではない
ユーザーのプライバシーを考慮しながら、リスクのあるアクティビティを監視することは、二者択一の状況ではありません。結局のところ、内部リスク対策プログラムは、内部従業員によるユーザーデータの不正使用や流出を特定するものであり、特定されたイベントは、プライバシーチームやHRとの協力で対応されます。つまり、従業員保護対策の一端を担うものです。
これらのベストプラクティスに従うことで、データセキュリティとプライバシーのニーズを効果的にバランスさせたプログラムを構築していると確信することができます。最終目標は、従業員のプライバシーが尊重され、内部リスクが低減された、より安全でセキュアな環境を構築することです。
詳細はこちら
Human-Centricアプローチに基づく内部リスク対策プログラムに部門横断的に取り組むためのベストプラクティスについて、Ebookをご用意しておりますので、ぜひご覧ください。
