社内で発生するセキュリティへの脅威をいかに管理すべきか
デジタルの世界が成長し続けるにつれて、サイバー脅威やサイバー攻撃の量、種類、速さは増している。この世界にはデータがあふれており、それを独自の暗号資産に変えようとする者は常に存在する。
今日、マルウェアやランサムウェアは、個人の携帯電話から基幹インフラやサプライチェーンに至るまで、あらゆるものを攻撃している。メールを使用した詐欺のフィッシング、テキストメッセージやアプリを用いた詐欺であるスミッシング、電話を用いた詐欺のビッシングなど、攻撃者もますます巧妙になり、生活や仕事に関する詳細な情報を悪用して、私たちにデータを共有させようとしている。
しかし、誰もが標的になる世界では、企業は組織の「内部」から発生するリスクにさらされていることも理解しなければならない。今日ではリモートワーカーは3億人以上おり、どこにいてもデータの作成、アクセス、共有、保存が可能だ。インサイダーの脅威や単純な事故から生じるデータ侵害が企業に与える損害は、年間平均750万ドルに上る。2022年に発生した決済アプリ「キャッシュアップ」のデータ侵害は、元従業員が解雇されたのちに顧客の財務報告書にアクセスし、820万の既存顧客と元顧客に影響を与えたと見られている。
究極的には、データ侵害が意図的か偶発的かは問題ではない。インサイダーリスクプログラムは、すべての企業がセキュリティ戦略に組み込むべきだ。それを成功させるためには、組織は従業員をパートナーとして扱い、インサイダーリスクがどこで生じても検知し、さらにその影響を緩和する高度なツールを用いてプログラムを補完しなければならない。
マイクロソフトのCISO(最高情報セキュリティ責任者)としてインサイダーリスクプログラムを管理する筆者が、同プログラムが社内の小規模な取り組みからCEO管轄の事業部門へと成長する中で学んだ4つの教訓を紹介する。
1. 従業員の信頼とプライバシーを最優先する
この教訓が最初に来るのには理由がある。ビジネスでも人生でも、信頼は人間関係を機能させるための鍵だ。最良のインサイダーリスクプログラムは、従業員のプライバシーと会社のセキュリティのバランスを重視している。信頼を維持し、向上させるプライバシーの管理法と方針を策定することが肝要だ。
従業員の行動を見境なく調べ、不正行為を発見するためのツールを設定するのは、非効率かつ非生産的であるだけでなく、明らかに間違っている。プライバシーの侵害であり、不安を煽り、人間関係を悪化させる。組織はインサイダーリスクを検知する必要があるが、正しい方法で、透明性を維持しつつ限定された範囲で行うことで、従業員への敬意を示し、信頼を拡大しなければならない。
職場のアイデンティティを保護するプライバシーコントロールを設定することで、調査の最中であっても、従業員は自分は保護されていると知ることができる。また、インサイダーリスク管理ツールにロールベースアクセス(役割ごとにアクセス権限を割り当てる機能)を用いれば、コンプライアンスアラートを適切な担当者が確認し、根拠のない疑いがいつの間にか組織内に生じることを防げる。
