DX(デジタルトランスフォーメーション)というと聞こえがいいが結果的に DX は、組織や仕事、そこで働く人間を劣化させるのではないかと思うことがある。重要書類がデータ化されたからこそ、それを暗号化して身代金を取ろうなどと考えるのだし、最近はこんな最悪な話を聞いた。
施設警備などの目的で開発された、カメラに映る歩行者の数や性別年齢を AI やアルゴリズムで識別したり、急に走り出したり不自然に静止している人を検知するとアラートを出すような監視技術を、工場や倉庫あるいは大規模小売店などに提案に行くと、反対にそこの年配の男性の経営者などから「さぼっている従業員を見つけるためにこの技術を使えないか?」と瞳キラキラで逆提案されることがあるという。
実にイヤな話だが従業員を信頼できず憎んですらいる経営者というのは一定比率存在するし、一方で売る側は正直売れれば何でもいい(そうでない会社もあります)。かくして固い握手が成立し、我々庶民の労働環境が DX によって悪い方向にトランスフォームを遂げる。人間は自身がルールや正義と信ずることに違反している人物を処罰すると脳の報酬系から分泌されるドーパミンによって強烈な快楽を得る。これは X で見ず知らずの人に正論すれすれの暴言(つまり暴言)を吐いて溜飲を下げている野蛮な行為と本質は変わらない気がする。2024 年現在、一種のドーパミン前駆物質ともいえる「怒り」こそ最も人間が求めてやまないコンテンツのひとつだ。
内村鑑三か二宮尊徳かの言葉に「道徳なき経済は犯罪である」というものがあるらしいが、その犯罪的な経済活動をデジタル技術が積極的に後押ししているような気がしてならない。その手の犯罪もとい経済の優等生 Google についてここで 2 万文字書くこともできるのだがさすがにそれは今回の趣旨からだいぶ外れるのでやめておく。ただしそう外れてもいないと思う。デジタル技術は正しい目的で使うべきであるという話だ。
●2024年4月 改正不正競争防止法施行
さて、近年耳にすることが増えた「手土産転職」という言葉も、デジタル化によって組織やひいては労働そのものが劣化している産物ではないかと記者は考えている。以前ならバインダーに綴じられた数百冊にも及ぶたとえば顧客データ等がデジタル化されたことで、あたかも「手で持つ」ことができるかのように扱いやすくなったことが本質である。
「手土産」という言葉からは、ご機嫌に酒に酔った磯野波平が帰宅の際にぶら下げている寿司折りのようなものが思い浮かぶし、正装してネクタイを結んだシルヴェスター・スタローンが年末に届けに来る高級ハムのお歳暮のようなイメージすら関連して想起されるのだが、実態はそんなのんきなものでは全くない。多くは不正競争防止法などにガッツリ抵触するれっきとした犯罪であり、内容によって刑事罰が適用される重いものである。
それなのにこの「手土産」という弛緩(しかん)した言葉はどうだろう。まるで「天才肌の芸能事務所の社長や天才肌の昭和の芸人がやったことですから多少は大目に見てやってください」的な、糾弾とは逆ベクトルのぬるい空気が猛烈に漂う。そして裏を返せばそれは「誰しも程度の差はあれ身に覚えのあることではありませんか」というメッセージも含みかねない。
こうした弛み(たるみ)きった国内企業と労働者の状況を知ってか知らずか、日本政府はデジタル時代の営業秘密等の保護を強化するために、不正競争防止法を改正し、本年 2024 年 4 月から施行した。
これまで制限されていなかったデジタル空間におけるパクリなどが禁止された他、秘密管理されたビッグデータも新たに保護の対象になり、さらにこれまで産業スパイなどの悪質な行為者に限定されていた旧法に変わって、改正法ではデジタルデータにアクセス権限のあるごく一般の従業員にまで同法が適用されるようになった。
罰金額も上昇した。個人の場合罰金上限額は 500 万円以下から 3,000 万円以下に、法人の罰金も 3 億円以下から 10 億円以下に大幅に引き上げられている。
●内部脅威 3 類型
「手土産転職」が代表するこうした不正行為は、サイバーセキュリティの文脈では「内部脅威(Insider Threat)」と呼ばれている。内部脅威には(1)悪意がないが不適切であり損害を与える行為、(2)本稿のテーマである悪意のある正規権限者による不正行為が含まれ、(3)闇で購入したクレデンシャルを使って侵入する攻撃も内部脅威に定義としては包含されることがある(従来対策で検知できない点で一緒なので)。
これまで企業や組織は内部脅威に対して、IT資産管理ソフトやアイデンティティ管理製品、UEBA 等の活用で対処しようとしてきたが、最大の難点はやはり、そもそもあらゆるセキュリティ製品が(あたりまえのことだが)「外部からの脅威の検知と回避」を目的に設計されてきたことだ。正規権限を持った正規ユーザーが正規権限の範囲内で入ってもいいフォルダに入ったり、ログインしていい業務アプリにログインしたり、見てもいい資料を閲覧したり、コピーしていい文字列をコピーするといった行動への対応は極めて難しい。対策実施のマインドセットもそもそも異なるし、組織的にもセキュリティ部門や情報システム部門だけで扱える問題ではない。
資産管理ソフトによる社員へのじんわりとした牽制や UEBA なども充分有効な対策ではあるが、内部脅威対策のジャンルではグローバルでほぼ「一強」ともいえるセキュリティベンダーが存在する。米 Proofpoint 社だ。
同社はメールセキュリティの専業会社として創業(ネットスケープ 元 CTO エリック・ハーンが 2002 年創業)発展し、その後「Human-Centric(人間中心)」をコンセプトとして、人間を評価軸に置いたユニークな内部脅威対策製品やサービスを展開、世界にほぼ唯一の「内部脅威対策専業ベンダー」として唯一無二の存在感を築いている。たんまり金を持っているのに EDR 製品を買収したり XDR 等にまったく手を出さない変わった会社でもある。
果たして「手土産転職」に打つ手はあるのか。日本プルーフポイント株式会社 チーフエバンジェリスト 増田 幸美(そうた ゆきみ)と、シニアセールスエンジニア 木下 順一(きのした じゅんいち)に話を聞いた。
蛇足となるが、本誌は日本プルーフポイント社のキーパーソンを何人か取材しているが、いずれの人物も単なる製品の優位性や市場需要(要は儲かっていて給料が高そうだから)という理由だけではなく、会社の持つ「Human-Centric」という「コンセプトに共感して人が集まっている」印象を持つ珍しい企業である。通常高級&高給な外資には「傭兵(価値観への賛同はしないがハイエンドなプロフェッショナル)」のような人物が多いがこの会社は少し印象が違っている。
●「働き盛り」「正社員」「技術職」の転職が増加
増田によれば日本企業には、入社したらそのまま同一企業で勤め上げるという美徳が存在し、内部脅威対策も「性善説」に基づいているところが多いという。しかし、コロナ禍によって自宅で仕事をする時間が増えたことが自分のキャリアを見直す機会ともなったのか、近年日本国内で転職者が増加、特に「20 代から 50 代の働き盛り」の「正社員」「技術職」の男性の転職が増えていることが従来との違いだという。
取材の前段階では記者は「手土産転職」に対して、たとえば営業担当者が名刺管理ソフトに保存された顧客リストをごっそりダウンロードして転職先に持っていくような単純なイメージしか持っていなかったが、増田によれば、技術者によってソフトウェアのプログラムコードが持ち出される例やそれに対する相談が、行為者の悪意の在不在を問わずとても増えているという。これは知財を持ち出される側も損害だが、転職先企業にとっても前職のコードが製品に含まれている(汚染されている)と製品が発売できなくなるリスクがあるという。
一部の先進的な企業ではこうしたコード持ち出しのリスクに対処するために、何万行というプログラムの中に、書かれる必要がないコードを意図的に埋め込む対策を取る場合があるという。将来手土産として持ち出された際に「出自の証拠」とするための保険である。
このあたりで普通は「Proofpoint ITM(Insider Threat Management)」という内部脅威対策製品について詳しい情報を入れていくべきなのであるが、驚くべきことに本取材はほんとうに「手土産転職にどう対処すべきか」という論点でインタビューが終始したため、実はあまり書くことがない。それは増田と木下の意図でもあろうから、ここで製品機能解説を大量に差し込んで話の流れを止めることはやめておくことにする。
本誌 ScanNetSecurity は日頃から、セキュリティベンダの情報発信を、やれ「おためごかし」だの「正論の説教」だの「親切に見せかけた結局はモノを売りたいポジショントーク」と絶叫している。何か取材対象がそれに感づいて気を使うこともあるのかもしれない。
ひとつだけ付記しておくと、Proofpoint の内部脅威対策製品は「データではなく人」に焦点をあてており、情報漏えいにつながるような「人」の振る舞いに注目する。事件発生後に犯罪者を探すのではなく、情報漏えいにつながるような行動をとった場合にリアルタイムで注意喚起を行うソリューションでもある。これを「社員を犯罪者にさせない、社員を守るツール」と以前記事に書いたことがあるので参照いただきたい。
●「クロ」を確定するエビデンスを集める海外企業
取材の中では、内部脅威対策に対する日本と海外との違いを考えさせる事例が紹介された。同社の海外顧客で次のような事案があったという。
某グローバル企業が中国で製品開発部門の社員を採用したところ、休暇をとって会社の PC から個人利用の Google ドライブや個人デバイスに情報をコピーしまくる行動が検知されたという。当該グローバル企業が世界 10 万人弱の社員に支給する PC 全台には Proofpoint ITM のエージェントがプリインストールされている。管理部門がその、会社の情報コピーしまくり社員に PC の提出を求めたところ、まったく別の PC がしれっと提出され、ほぼ同時に辞表を出しその後連絡がとれなくなった。
そもそも Proofpoint ITM は Google ドライブなりへの情報送信そのものを止めることもできるのだが、海外の同製品ユーザーは裁判証拠として機能しうるエビデンスを得るためのツールとして Proofpoint 製品を使うことが多いという。要は泳がせて決定的瞬間を記録する方法である。実際に Proofpoint ITM のエビデンスを元にして、コピーしまくり社員に対して、検知からわずか 3 週間後に裁判が起こされた。タフというか凄みのあるエピソードだ。年がら年中こういうことがあって法務部門の事務的ルーティンですらあるのかもしれない。
●最後まで信じたい日本企業
それに対して日本企業での Proofpoint ITM の使われ方は大きく異なるという。活用事例はいろいろあるが、多くの企業で使われる方法として、まずユーザーが PC にログインする際に「Proofpoint ITM がモニタリングしている」と警告を表示、その後も重要なシステムにアクセスする際は「ここから先は監視しています」「これは重要な機密なので活用に気をつけてください」といった牽制をかけまくるという。つまり、事前に悪いことが何かをハッキリと教えることで、悪意のある行動の実行を未然に止める「教育ソリューション」のように活用されることが日本では多いという。
なかでも日本の顧客に最も評価されている Proofpoint ITM の機能のひとつに「スクリーンショット保存機能」があるという。それは、ユーザーの操作をパラパラ漫画のようにスクリーンショットとして残す機能で、アラートが上がった部分やその前後に赤や黄色で警告を発したり、不審な部分のみを検索できる機能もあり、世界でも日本企業に圧倒的に支持されているという。日本は何かあった際に事案を判断する担当者が、技術者でなく人事部門の担当者も多く、加えてスクリーンショットは万人が理解できることが原因ではないかと増田は分析した。なお海外では、不正行為が行われたことを示すメタデータだけを得ればそれで証拠として機能するため、スクリーンショットの利用はそこまで多くないという。
記者が思うに「決定的瞬間をスクリーンショットで残したい」というのは日本的性善説そのものであるように感じた。要は家族的一体感を追究する日本企業では、同僚が悪いことをするということなどできれば信じたくないのだよ。きっと。そういう事情だから火を見るより明らかなメタデータを見てもホントにやったという確証など持てない。だからスクリーンショットを見て、まず誰よりも先に自分自身を感情的に納得させるのである。一方で海外は、そもそも人間を性悪説でとらえていたり、労働という行為がそもそも「神から人類に与えられた懲罰」だったりと、だいぶ日本と異なる。
●両方向に「人間に配慮した」ソリューション
外資系のセキュリティ製品としては必ずしも一般的ではないのだが、Proofpoint ITM は、SaaS 版の提供にあわせて日本国内にデータセンターを置くなど、日本からのリクエストによって追加された機能が多数存在する。他にどのような日本に向けたカスタマイズが行われたのか、なぜそれが実現できるのか(外資にしては相当使える社長がいるからなのだが)詳細については過去記事に書いたのでそちらを参照いただきたい。
また増田は、内部脅威対策製品の運用者は、毎日の業務として同僚を「内部脅威予備軍」としてみなすことになるため、神経がやられてしまうケースが多いと語った。そのための配慮として Proofpoint ITM の管理者向けに、プライバシー先進国ドイツの顧客からの要望で実装した「アノニマイズ」機能を提供しているという。アノニマイズ機能とは、ダッシュボードに表示される疑わしきとされる各人物の名前や所属を、たとえば「株式会社イード 代表取締役社長 宮川洋」なら「ABCD株式会社 XYZ1234」などと実際に誰なのか想像がつかないものに置き換える機能である。
冒頭で書いたように本製品はプライバシー等々に関わる問題と直接関連するから、情報システム部門だけでなく、人事部門、法務部門、経営層を横断し、関係法令とつきあわせた慎重な運用が必要とされる業務を司る。これを増田は、サイバー攻撃においてグレーを黒とみなして行動して構わないが、内部脅威対策では完全に白黒をはっきりさせる証拠が得られない限り、どんな行動も対応も絶対にしてはならない、と表現した。「たとえ合法だとしても」とすらつけ加えたいような勢いがあった。
取材の中では SKYSEA Client View や Exabeam と、Proofpoint ITM との違いなども聞いたのだが、考えてみると読者はすでに知っている言わずもがなの情報でもあるかもしれない。本稿では詳細を割愛する。そもそもが目的からして別のものである。
●手土産転職防止の有効策「オフボーディングプロセス」実施
最後に増田は、手土産転職への対処として「“オフ”ボーディングプロセスの明文化と公正な実施」が有効である、という意見を述べた。
「“オン”ボーディング」すなわち入社時においては、人事・IT・法務等々がみっちりと新入社員に対してオリエンテーションを行うが、反対に退職時はそれらの手続きが不十分で、チェックリストも詳細ではないどころか、そもそもろくに更新されていなかったりする。また、オフボーディングプロセスを実施するのが直属の上司であることも多く、情実がからみ簡易的に行われたり、重要な手続が省略されることも少なくない。そんな現状は確かにあるかもしれない。
だが、かといって特定の怪しい(と管理者からは見える)人物にだけ入念な「身体検査」的なことをやれば、労働法的にも問題であり、むしろ存在すらしていなかったリスクが新たに生まれて大輪の花を咲かせかねない。冒頭に書いたような「報酬系快楽物質依存症おじさん」にならないよう注意が必要である。あくまで公平に、そして全員に、労働法や従業員感情に充分に配慮して実施することが不可欠だ。
●日本は Proofpoint の戦略的重要地域
米 Proofpoint 社 CEO スミット・ダーワンは今年 5 月に来日している。同氏はドイツとフランスと日本を戦略的に重要な地域とみなし、今後も日本のユーザーに向けた機能実装や投資を積極的に行っていくと開催したイベントで明言した。
Proofpoint ITM のような内部脅威対策製品が、すべての企業に必要な対策かというと、そういうことはまあないだろう。SKYSEA Client View や Lanscope で充分コンプラにも適合する、そもそもそれすら必要ない企業の方が圧倒的に多いとも思う。というか本誌を読んでいるような賢明な総務担当者が、社労士と小一時間相談してオフボーディングプロセスをきちんと策定して実施さえすれば、手土産転職などという問題は、よほどの知財や IP を持っている企業でもない限りほぼ雲散霧消するはずだ。
しかし、ひとたび数万を超える従業員を抱える大規模組織や、それこそすんげえ IP や知財を持つ企業等々が本格的に内部脅威対策について考えるならば、Proofpoint ITM はほぼ一択に近い選択肢のようにすら思える。
