次のような状況を想像してみてください。ある組織が、内部不正インシデントを経験しました。幸いなことに実害が出る前に内部関係者の振る舞いを阻止することができましたが、それは内部不正/内部脅威としてよくあるケースでした。競合他社への転職を予定している退職間近の従業員が「手土産」として機密の戦略文書をダウンロードしようとしていたのです。
この事件をきっかけに、経営陣は内部脅威対策を経営の課題であると認識するようになりました。それ自体はよいことですが、喜んでばかりもいられません。経営陣のサポートが得られ、テクノロジーもあり、人員もいる。それで、どうすればいいのか?これらすべてを、うまく取りまとめるには?
内部リスクプログラムをゼロから始めようとしている方も、現行のプログラムの改善に取り組んでいる方も、このブログが参考になると思います。本ブログでは、効果的なプログラムの構築に必要なステップとベストプラクティスをお伝えします。
プログラムの重要性
効果的な内部リスクプログラムの構築ステップを解説する前に、なぜプログラムが重要なのかをお伝えしましょう。
理由としては次のようなものがあります。
- アプローチをリアクティブなものからプロアクティブなものに移行できれば、組織は内部脅威インシデントを未然に防ぐことができます。起こってしまってから対処するのでは、金銭的損失やブランドイメージの失墜を免れないこともあります。
- リスクのあるユーザーは誰なのか。最も重要なデータおよびシステムはどれか。これらを把握することが、守るべきものを確実に守るセキュリティコントロールの整備につながります。
- プロセスと手順を事前に定義しておくことで、インシデント発生時の対応を迅速化できます。インシデント発生時には、いつ誰が何を行うべきかを明確化しておくことで、部門横断的なやり取りが必要な場合は特に、時間を節約できます。
内部リスクプログラム構築のための5つのステップ
内部リスクプログラムの構築には、5つのステップがあります。
ステップ1:チームを編成する
効果的な内部リスクプログラムを構築するには、エグゼクティブチャンピオンの指名、ステアリングコミッティの設置、そして部門横断的な実働チームの編成が必要です。内部リスクプログラムは一種のチームスポーツです。法務、人事、コンプライアンス、事業部門のマネージャー、管理職層、さらには取締役員など、組織全体の従業員が関わります。
どのグループも、組織のリスク低減という共通の目標に向かって力を合わせる必要があります。エグゼクティブスポンサーは、プログラムの支援を行い、障壁を乗り越えるサポートを提供するなどの重要な役割を担います。
ステップ2:目的を定義する
内部リスクプログラムの目標は、内部リスクが内部脅威へと進化するのを防ぐことです。信頼されるポジションにいる個人が、故意あるいは不注意により、組織に危害を加えた場合、リスクは脅威になります。
まず組織において最も脆弱な分野を把握することから始める必要があります。これには以下が含まれます。
- リスクのある内部関係者を識別する: 特権アクセスを持つ従業員、契約業者、Very Attacked People (VAP:組織の中の要注意人物)*1、エグゼクティブ、成績不振とみなされている従業員、その他多くが、リスクのある内部関係者に該当します。リスクのあるユーザーは組織によって異なります。きちんと定義しておくことが不可欠です。
- 機密データを定義する: どのような機密データを保持しているかを知らなければ、それを保護することもできません。
- コンプライアンス要件を把握する: プライバシー要件の遵守を盛り込んだ包括的な内部リスクプログラムにより、一定の法令やコンプライアンス規則に準拠できます。
- ビジネスニーズとのバランスを取る: 防止などのセキュリティコントロールと、エンドユーザーの生産性とのバランスを見つけます。
*1: Very Attacked People (VAP):プルーフポイントでは、組織の中で「V (Vulnerability)」脆弱な働き方をしている人、「A (Attack)」よく攻撃者から狙われる人、「P (Privilege)」高いアクセス権限を持つ人の3要素をVAPとしてスコア化し、一般の人よりセキュリティ制御を強めることにより、業務効率性とセキュリティのバランスを保ちます。
ステップ3:能力を確認する
プログラムを計画する前に、現在の状態を知る必要があります。これは、組織の現在の能力、投資規模、そして内部リスクプログラムの有効性を客観的に評価することから始まります。このステップで、次のような問いに対する答えが得られます。
- あなたの組織の技術的な能力と制限は何でしょうか?
- 必要とされる検知、対応、分析、防止の能力が備わっているでしょうか?
- 具体的な問題点またはカバー範囲のギャップは何でしょうか?
- より包括的なプログラムを展開した場合にどのように既存の投資を最大限に活用できるでしょうか?
ステップ4:運用する
アナリストが定義済みのチャネルを通じて反応、トリアージ、エスカレーションを行えるセキュリティオペレーションプロセスを確立することが重要です。明確に定義された運用プレイブックがあれば、調査とリスク低減のアクションを速やかにとることができます。
人事部、法務部、コンプライアンス部、経営幹部、そして組織本体がスムーズに協働できるためのエスカレーションプロセスを定義します。機密データに関する操作の監視がユーザーベースによって認識され、同意されるプロセスを確立することが重要です。
ステップ5:継続的に改善する
プログラムの運用を開始したら、継続的に改善を重ね、ビジネスニーズに基づいてプログラムを進化させることができます。これには以下が含まれます。
- 事後対処的ではなく、入念に考慮された方法でプログラムを成長させる、目標とマイルストーンを開発する
- プログラムに関する合意済みのマイルストーンや成長に基づいたメトリクスを特定する
- 主要なビジネスニーズに対応し、プログラムが拡大できるよう、利害関係者と連携する
- 防止と修復を自動化することでセキュリティアナリストが効率を向上させ、時間を節約できるようにする
プルーフポイントにできること
内部リスクプログラムの構築および強化をお手伝いいたします。多くの組織は、内部脅威に関する専門知識を備えていません。そこで、その世界のエキスパートとしてのプルーフポイントがお役に立てます。プルーフポイントなら、効果的な内部不正/内部脅威対策プログラムの設計、実装、管理においてガイダンスと専門知識を提供できます。
