手薄な「内部犯」への対応遅れは企業の存続をも危うくする

 社員や委託業者などの意図的な不正や不注意によるセキュリティインシデント、企業にとって極めて機密性の高い情報である顧客情報が、その売買を目的に内部関係者の手で持ち出されてしまうという事案が頻繁に発生している。

 企業が注意深く、人材を正しく評価する目を持つ必要があるが、見るべきは「能力」や「経験」、「成果」だけではない。これまで以上に、組織内での「行動」に目を向ける必要がある。昨今、企業が巻き込まれた事件を思い出してみてほしい。情報漏えい事件は外部からの犯罪行為ではなく、内部からのものも多かったはずだ。

 もちろん、以前も内部犯がなかったわけではないが、特に現在、最も価値の高い資産ともいわれる「情報」は、社外からの攻撃に対する防御はしっかりしていても、社内の人間には、思いのほか無防備、あるいは目を向けきれていなかったのではないだろうか。

 働き方改革や優秀な人材の確保は急務で、実際に人材不足が顕著なデータサイエンティストやDX人材などは、企業側がこぞって高い報酬を用意して、獲得を競い合っている。せっかく獲得した人材に十分に力を発揮してもらい、DXなどの目標を達成するだけでなく、「行動」に沿ったリスクマネジメントを行わなければならないはずだ。以下では、そのための方法としてセキュリティの「内部脅威」への対策を検討していく。

この先は日経 xTECH Active会員の登録が必要です

日経xTECH Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。