何年も前のことになるが、本誌編集部に、とあるIT管理ソフトの PR 代理店の担当者から、毎日のように電話をいただいていた時期があった。
社長インタビューや、開発者インタビューのひとつでもサクッとやっていただいて、記事の一本や二本ズバッと書いてはもらえないだろうか、協力は惜しまない。
ありがたいお話だったが、PR 代理店さんがセットした取材は、ゴールがあらかじめ決まっていて読者を退屈させるので原則やっていない(本当)旨を都度伝えていた。しかし数日経つとまた性懲りもなく電話をしてきやがるのであった。
その担当者氏は、毎回新しい提案やネタを考えてきたり、少なくともテーマに関わるネットの記事を読むぐらいの勉強をしているらしいことがわかったので、話だけは極力聞くように心がけていたが、それが 2 週間、3 週間、4 週間に及ぶとさすがに事業会社にとって課題のひとつとなってきた。
婉曲的にお断りするという段階はとうに過ぎており、直接的な言葉で断ることを既に何度か行っていたが、それでもあきらめる気配は全くなかった。あとはいろいろな手段を順に試していくしかない。さらに日が過ぎた。
「そこまでおっしゃるなら従業員監視機能についてお話をしていただけるなら、取材します。キーロガーのデータがどう保存されて、何かあった際にどう検索できるのか、社員のモニターのスクリーンショットは打鍵やマウスクリックなど、どういうタイミングで取っているのか、上場企業に求められる機能とそれ以外の企業との違いなどです」
はっきり覚えていないのだが、1 ヶ月近くほぼ毎日続いた電話がその瞬間ほとんどガチャ切りのようにして切られた。
まるで自分が、裁判所から接近禁止命令を出された元恋人なり元妻の、自宅なり職場に電話したストーカーにでもなったような気がしたことを、つい先程起こった出来事のように思い出す。
会社のイメージを向上させることをミッションとする PR 代理店にとって、とんでもない禁則事項に抵触する発言を幸運なことに自分がしてしまったことは明らかだった。その話題に関してはイエスやノーはもちろん、なんらかの意思表示をするだけでも問題になる、そういうことだったのだろう。
決して激昂することなく、相手の痛いところを「(結果的にではあるものの)冷静に」突いて攻勢を止めることに成功した。武器を使わず勝利した編集部の完全試合といってよかった。
それから数年が過ぎ、今回本誌は日本プルーフポイント株式会社の内部脅威対策製品「Proofpoint ITM(Insider Threat Management)」を取材した。
内部脅威である。過去、IT管理ソフトの PR 代理店氏との約 1 ヶ月にわたる攻防を経ていただけに、これが一体どういう取材になるのか、スタートまで全くイメージを持てなかった。
おそらく内部不正検知機能の具体的な事柄については何ら触れず、「Fortune 500 の○○%が採用」だの、中身ではなく外郭をそぞろ歩くだけの、役に立たないポエム的言辞が充溢した、きれいごととおためごかしのみに終始すると思われた取材だったが、しかし驚くほどフランクでオープンなインタビューとなった。それには Proofpoint という会社の持つ文化と、製品の特徴に理由があったと思う。
「ITM」を担当する、日本プルーフポイント株式会社 シニアセールスエンジニア 田中 晴也(たなか せいや)に話を聞いた。
--
●セキュリティに携わるまで
田中は大学時代、電子工学科に所属、新卒で日本の大手システムインテグレータに入社、セキュリティを含むインフラ全般のスキルを養った。
「一度はベンチャー企業で働きたい」そう考えていた田中は、約 3 年でネットエージェント株式会社に転職。経営企画部に所属し、同社創業者である杉浦隆幸氏のもとで企画・マーケティングを中心に、特許取得など知財管理業務にも力を入れた。
その後田中は通信キャリアへ移ったが、前職の経験を買われ、新しいジャンルのセキュリティ製品の日本市場立ち上げの仕事に深く関わることになる。
● DLP は死んだ
通信キャリアを経て日本プルーフポイント株式会社に入社。入社理由として田中は Proofpoint の理念「People-Centric(編集部註:人間中心主義)」を挙げた。
Proofpoint のプラットフォーム戦略は「人」中心に考えられ設計されている。メールセキュリティやアウェアネストレーニング等々、さまざまなセキュリティ製品やサービスを揃えるが、すべて「人」中心の「People-Centric」で整理されている点が強みと田中は考える。
田中は現在、シニアセールスエンジニアとして Proofpoint の全商材を扱うが、前職で扱った製品とアーキテクチャが近かったこともあり、特に「ITM(Insider Threat Management)と呼ばれる、内部脅威対策製品を中心に提案を行う。
情報漏えい対策は、これまでDLP(Data Loss Prevention)と呼ばれてきたものがメインだった。データを中心に情報漏えい対策を考えるアプローチである。しかし、データが勝手に歩いて外に出ていくのではなく、情報漏えいの場合は必ず外部あるいは内部の「人」のアクションが関与している。
「主語をデータにして考えている限り、どこかで設計が破綻し、DLP はうまくいかないのではと思う(田中)」
Proofpoint ITM は、「人」に焦点をあてており、単にデータの動きを検知するのではなく、情報漏えいにつながるような「人」の振る舞いに注目する。
事件発生後に犯罪者を探すのではなく、情報漏えいにつながるような行動をとった、まさにその時に注意喚起ができるソリューションである。社員を犯罪者にさせない、社員を守る意思を持つツールであると田中は述べた。
内部脅威の中でも、悪意のある行為よりも、過失や不注意によるものが圧倒的に多い中で、その過失や不注意を事前に知らせて行動を止めてあげることができるのだ。
● ITM の 3 つの特徴「目的」
田中は ITM の特徴として、「目的」「検知」「運用」の 3 点を挙げた。
DLP が配備された状況下で内部不正が発生した場合、事前に取得しておいたログをもとに犯罪者を見つける。これは、何かやりかねないからログをとっているという点で性悪説に寄っているという。
しかし ITM は、リアルタイムに不正の兆候を検知し、やんわり(あるいは強く)それを抑止し警告することで、社員が犯罪者にコンバージョンすることを防ぐ。結果的に企業だけでなく、社員の生活と家庭を守ることも目的としたツールだという。
「日本では、身内の中に犯罪者が紛れ込んでいるという考え方はほぼありません。不注意や過失で何か失敗をしてしまう社員の行動をその前に止めることで、社員と会社を守りましょうというのが本当のゴール(田中)」
ITM は、99.9 %の善良な社員を守るために、残り 0.1 %の社員に抑止をかけるツールだが、ケアレスミスなどによる情報漏えいも検知対象とする。危うい行動をした時もリアルタイムで止めることで、漏えいの当事者になることからその社員を守る。
独立行政法人情報処理推進機構(IPA)の「企業における営業秘密管理に関する実態調査2020」では「現職従業員等の誤操作・誤認等による漏えい」が 21.2 %、「現職従業員等のルール不徹底による漏えい」が 19.5 %で、悪意を何ら持たない天然や、超絶うっかりさんによって結果的に情報が漏れてしまうことは少なくない。
「企業における営業秘密管理に関する実態調査2020」報告書について
https://www.ipa.go.jp/security/fy2020/reports/ts_kanri/index.html
● ITM の「検知」とは、外部脅威との決定的な違い
内部脅威の場合、外部からのサイバー攻撃とは「検知」の線引きは異なる。外からの攻撃ならグレーなものを「黒」とみなしてかまわないが、内からの脅威において、グレーを機械的に「黒」と判断することにはリスクがある。人権問題等にすら発展しかねないからだ。
つまり、確実に「黒」であるという背景が見え、証拠が揃わない限り、問題提起をすることはできない。
しかし性悪説前提で社員の端末のキーロガーからばんばん情報を蓄積して、モニターのスクリーショットを録画しまくれば、そりゃ監査法人はコンプラ担保で我が身の保身につながるから大満足だろうが、それによって社員の恨みや感情的しこりが蓄積すれば「動機」や「正当化」につながりかねない。
そういったことにならないために、ITMでは自動スコアリングとプライバシーモードを搭載している。社員の振る舞いを自動スコアリングで採点し、プライバシーモードで運用している場合は、その社員の情報は匿名化され、それが誰なのかという情報は、管理画面には表示されない。これは運用者のハートを守る機能であるとも言える。後述するように、運用者と対象間に人間関係が存在する場合が多いのが内部脅威だからだ。
このモードで検知をおこない、自動判定スコアが高くなった場合にのみ、権限のある適切な人が、その対象となる社員の詳細を確認することができる。このプライバシーモードは、EUの中でも特に情報保護に厳しいドイツの顧客からの要求で搭載されている。
外部からの脅威と異なり、内部脅威に対応するためには、社員のプライバシーを保った状態で、検知することが求められている。
● ITM の「運用」を行わせてはいけない人
内部脅威対策を導入した際に、社内のどのチームが運用するのかという問題もある。赤の他人が攻撃をしかけてくる外からの脅威と異なり、内部脅威では監視対象とそもそも人間関係が存在することも少なくない。
Proofpoint は、内部脅威の情報に接して判断を行うには、組織を横断するチームが必要という。SOC、セキュリティチーム、情シスだけでなく、法律面にも明るい監査やコンプライアンス部門、人事部門の担当者も入れる必要がある。
つまり、通常システムに親しみのないメンバーが扱うソリューションになるため、ITM は、IT の専門家ではない担当者が見て直感的にわかるダッシュボードを提供している。
● 資産管理ソフトとITMの違い
田中によれば、Proofpoint ITM のど真ん中の競合は現時点では存在しないという。
日本ではこれまで、DLP や SIEM、あるいは冒頭に挙げた資産管理ソフトを用いた内部不正対策等が選択肢として存在してきたが、監視対象者であるユーザーだけでなく、運用者をも含む人間中心主義で設計された内部脅威対策製品は、グローバルで探しても多くない。
ITM は、資産管理ソフトと並べて比較されることがあるという。しかし ITM は、資産管理ソフトのような「何か起こった後のエビデンスを探すログ置き場」ではなく、社員が犯罪者にコンバージョンするのを先手を打って抑止することを目的とする点で目的がそもそも異なり、リアルタイム性の確保など機能面でも別の製品であると語った。
--
取材に協力していただいたにもかかわらずこんなことを書くのは大変申し訳ないのだが、資産管理ソフトも、人間中心主義の ITM も、レベルや粒度、即時性などの点で差は大きそうだが、それでもやっていることは本質的には同じだろう。ただ、それをどういう目的のもと運用するかが異なるのだ。歌詞とメロディが同一でも、歌う人によっては悲しい曲にも明るい曲にもなる。
テレワークが常態になればいままで以上に社員は見えなくなるし、クラウド利用が加速すれば、ちょっとしたうっかりで起こる事故の規模はさらに巨大化する。悪意であれ天然であれ、内部脅威対策は今後欠かせないものになるのは間違いない。
そういうときにどういう会社が信用できそうなのか、「わかっている」会社はどこなのか、本稿をもとにじっくり考えてみるのもいいだろう。
