2. 部門を超えて協働する

 取り組みを主導するのはITとセキュリティ部門だが、インサイダーリスクは会社全体に関わるビジネス上の問題だ。マイクロソフトでは、長い期間をかけてそのことを学んだ。セキュリティに関連する部門の中の取り組みとして始まったものが、法務部、人事部、最高幹部を含む、部門間で統合された取り組みに発展した。

 このように幅広い部門が関与することで、広く同意が得られるとともに、新たな視点やリソースが得られる。法務部門は新たな規制の優先順位を見極め、人事は研修プログラムや調査を促進するといったようにだ。

 話し合いを進める役割を担うインサイダーリスク委員会やオンブズパーソンが最初にすべきは、情報をどう共有するか、各部門がどのような時に何を提供するか、誰がどのような決定を下すか、誰が責任を負うかをまとめた対応策を作成することだ。

 目標を共有し、成功の指標を明確にすることも重要だ。事例数や正検知、誤検知のフラグ、発見を受けて取られた措置など、主要な指標を定量化することで、プロセスを微調整することができる。誤検出が多ければ、人事部や法務部に不必要で高コストな調査の負担をかけるおそれがある。

3. 従業員が最初で最後の防衛線であることを認識する

 データ保護とコンプライアンスのトレーニングに従業員を参加させるのは難しいが、セキュリティリスクを軽減する方法と、なぜそれが優先事項になっているのかを知ってもらうことは大切だ。データスチュワードシップ(組織のデータを管理監督し、高品質なデータに容易にアクセスできるようにすること)に重点を置いたトレーニングは、組織がビジネスに貢献する従業員に信頼を置いていることを示す。

 組織のデータを適切に扱う方法についてトレーニングを行ない、定期的に周知し続けることで、常に最新の状態を維持することができる。また、そのメッセージを個人的なものにすることも効果的だ。多くの人は、自分の財務や医療のデータを保護する方法を即時に理解し、それに取り組んでいる。トレーニングに個人的な側面を取り入れることで、ビジネスにおけるデータ保護の重要性についての全体像も理解できる。

 リスクのない方法で「不審なものを確認したら報告する」という原則の下、トレーニングをすることは、インサイダープログラムの重要な役割だ。データセキュリティの教育とトレーニングを改善することで、企業は検知ツールを補完する最初で最後の防衛線である従業員に力を与えることができる。

4. 機械学習ツールを使用して少ない労力で多くを実行する

 ガートナーは、インサイダーリスク管理を「組織内の信頼できるアカウントによる望ましくない行動を測定、検知、阻止するためのツールと機能」と定義している。そして、インサイダーリスク管理ツールは近年、より正確で効果的になっている。

 旧来のツールは、痕跡を隠そうとする悪質な行為者を特定できるわずかな指標を見落としがちだった。また、生産性を低下させ、回避策を奨励するような厳しすぎる管理機能を備えていることも少なくない。今日、新しいタイプのインサイダーリスク管理ツールは、業務を妨げることなく、ユーザー情報を保護しながら、リスクのある行動を検出し、潜在的な影響を軽減する適応型セキュリティ機能を備えている。

 機密ファイルを印刷するような行為は意図的でないかもしれないが、ファイル名を変更し、印刷後に削除するといった一連の行為は、深刻な問題を示唆している可能性がある。機械学習を利用したツールは、ノイズからシグナルを分離し、目立たない活動を特定することができるため、組織を混乱させる誤検出を減らすことができる。

成功するインサイダーリスクプログラムは人、プロセス、テクノロジーに焦点を当てる

 内部リスクと外部リスクの両方を管理することは、あらゆる組織のセキュリティに不可欠だ。それぞれに課題はあるが、インサイダーリスク管理が特に難しいのは、人、プロセス、テクノロジーのバランスを取る必要があることだ。

 強力なツールは、インサイダーリスクを阻止し、検出し、対処するのに役立つが、根本的な原因を解決することはできない。そこで有効なのが、詳細にわたるオンボーディングやセキュリティトレーニング、チームビルディングの訓練、ワークライフバランスのプログラムだ。健全な職場環境を構築すれば、従業員が意図的に危険な行為に及ぶリスクを低減することにつながる。

 しかし、結局のところ、最も重要なのは人とテクノロジーのバランスを取ることだ。リスクマネジメントは事前対策として継続的に実施しなければならず、その原動力となるのが信頼、透明性、協働だ。「人が最優先であり、強力なテクノロジーがそれを支える」という原則が、インシデントを未然に防ぎ、発生した場合にそれを検知し、迅速かつ効果的に対処する唯一の方法だ。


"Your Biggest Cybersecurity Risks Could Be Inside Your Organization," HBR. org, March 01, 2023.