(編集部註:本稿は全文 7,711 文字です)
以前、ある資産管理ソフトの広報代理店から、編集部に毎日のように電話が来て大いに迷惑していた時期があった。貴誌に合うテーマを設定するし普段はなかなか表に出ないキーパーソンをアサインするから取材してくれという話だった。
ハッキリ何度も断ったがこれがしつこい。いい加減腹が立ったので「だったらクライアント PC のキー入力のログ保存とか GPS データ紐付け等々の “従業員監視「的な」機能” についてコントロールパネルのスクリーンショット等を多数提供いただきながら詳しく話をしてもらえるなら取材しますよ」と「SCANに合うテーマとはこういうのを言うんだ」とばかりに提案したところ、それまで電話の向こうでまるで生成 AI ばりになめらかな薄いトークを続けていた若い男性の担当者は、まるで突然猛烈にウンコをしたくでもなったかのように、急に会話の歯切れが著しく悪くなり、形ばかりの挨拶をモゴモゴと口早に述べたかと思うと、あっという間に向こうから電話を切りやがった。
やったぜ。やってやったぜ。ようやく追い払った勝利に酔いしれたが、いったい何が起こったのかしばらくは良くわからなかった。
後から考えるに、おそらくあの資産管理ソフトのブランディングや広報方針において、ユーザー監視的(な利活用を必ずしも排除しない)諸機能は、あまり(または絶対に)触れて欲しくない部分であったのだと気づいた。あるいは本当に漏れそうになったか。
メディアには触れて欲しくない機能を提供しながら、PR のプロを雇って積極的に情報発信をするという点と、同時に、重要な機能をエンドユーザーである会社組織等の従業員の目に触れないようにするためにも広報のプロを雇っているのだと考えたとき、申し訳ないが少なからずオーウェルの『1984』的な不審感と人権侵害的な匂いを感じたことを思い出す。このように、同じ組織で働く同僚を、ときとして潜在的な脅威とみなすセキュリティ対策のアプローチは取り扱いが非常に難しい。
そんな取り扱いが難しい製品領域で、危なげない情報発信を一貫して行っているのが Proofpoint である。ガートナーも近年追随して用いるようになった「ヒューマンセントリック(編集部註:人間中心、という意味)」をキーワードにして、メールセキュリティからアウェアネストレーニングなどの教育研修、リスク分析やリアルタイム検知を行う内部脅威対策製品「Proofpoint ITM(Insider Threat Management)」を提供している。同社の足腰がしっかりしている理由は複数あるがここでは大きく次の二つを挙げておこう。
ひとつはデータを軸とした情報漏えい対策の煩雑性と管理工数増大だ。業務が OA 化された当初は、作成したファイルの機密段階別ラベリングなど、データを主軸とした情報漏えい対策は有効だったかもしれないが、DX 時代を迎えてデータもファイルもアプリも増えに増えたことで完璧な運用が日々難しくなっている。Proofpoint の言う「内部脅威対策」とは、データではなくそれを扱う人間に軸を移した、実運用可能な新しいアプローチの情報漏えい対策でもある。
ふたつめは、ゼロトラストネットワークや SASE など、プラットフォーム化したセキュリティ対策が普及しつつあることで、フィッシング(メール)や BEC(メールや、近年はディープフェイクによる通話)のような、「従来のアプローチでは対策が難しい、人間の認知能力の限界を突く攻撃」が急速に増えていることだ。どんなにセキュリティ対策が網羅的に高度化しても、生身の人間が働いている限りこの脆弱性は消えない。
この「人間に起因する脆弱性」という極めて厄介な問題に、最初期から、いわばヒューマンセントリックセキュリティの黎明期から取り組んで来た企業が Proofpoint である。
日本の経済界で「手土産転職」などという不吉な言葉が人口に膾炙した現在、日本プルーフポイント株式会社は 6 月 6 日、都内で「内部不正/内部脅威対策カンファレンス」を開催した。新聞記者と弁護士が基調講演に登壇し、内部脅威に関する最新の事例等について解説が行われた他、それに対応する Proofpoint 製品の機能や今後のロードマップ等が語られた。
● 日経新聞 須藤記者が最初にことわったこと
最初に登壇した日本経済新聞社 編集委員 須藤 龍也 氏による基調講演「記者は見た! 日本における内部脅威の実態」は白眉だったと思う。本講演ではなんと「内部脅威を自分事」としてとらえていた。講演冒頭の趣旨を紹介する。
須藤氏は昨 2024 年秋の、朝日新聞から日本経済新聞への転職の際に、約 20 年間の記者生活の中で書きためてきた全取材ノート、および全名刺を置いて転職したと会場の受講者に打ち明けた。今回の講演も日本プルーフポイントの担当者から連絡を受け、改めて名刺交換をしたうえで話を進めたという。
セキュリティに関する講演において、登壇者が「脅威側の当事者」すなわち脅威アクターや攻撃実行の犯人であることは 100 %あり得ない。しかしこれが「内部脅威」というテーマになると話は変わってくる。たとえばメール誤送信も内部脅威の範疇だから、当事者にならないと 100 %断言できる人など誰もいない。それが内部脅威である。
「名刺とノートを全部置いてきた」そんなことわざわざ言わずとも十二分に成立した講演だったが、そうせずに、まず言うべきことを言った点に須藤氏のジャーナリストとしての、特にサイバーセキュリティを主領域とするジャーナリストとしての真摯さを感じたし、ひいてはこのカンファレンスそのものの良心が発露した瞬間にも思えた。
● 初動調査から IT 部門を関与させる必要性
須藤氏は、サイバー攻撃と内部不正は同質であるという視点から、リアルな事例の紹介と、企業がとるべき現実的な対応について解説した。「技術面を除けば、必要な対応はサイバー攻撃も内部不正もほぼ同じ」と指摘し、情報管理と物理的セキュリティの両面からの対策が不可欠であると強調した。なお講演では、実際の事件が複数紹介されたが、中には須藤氏が記者として今まさに取材中の案件も含まれていたので、個別の詳細は割愛する。
須藤氏は「こうした不正は、転職 2 ~ 3 週間前に起きることが多い」と語り、「犯人はあまり深く考えておらず、監視すればすぐに見つかる」場合も多く、日常的なログ監視の重要性を訴えた。
また、内部不正が発覚した際、現場の情報システム部門が蚊帳の外に置かれることが多い現実を指摘し、総務や法務が内密に動くと調査の初動で手がかりを失う場合があるとして、PC やクラウドサービス等の仕組みと実務を理解している IT 部門を早期から関与させる必要性を訴えた。
加えて、従来の弁護士は IT に明るくない場合があるが、近年サイバー保険に IT 専門弁護士の相談オプションが含まれるケースも増えており、活用すべきと提言した。
● ランサムウェア被害でもないのにダークウェブ調査を売りつける自称「セキュリティ専門企業」
須藤氏が過去の取材で得た情報によれば、ランサムウェアや情報漏えいの事案が発生すると、悪質な業者が多数現れて「データ復旧」を名目に高額なサービスを提案してくるケースが後を絶たないという。中には「従業員」の情報持ち出し事案にも関わらず 100 万円の “ダークウェブ調査” を真顔で持ちかけた業者もあると語った。それはいったいどんな従業員なのか。
須藤氏は、近年は DX や AI 技術の進展によって、ログや端末操作の異常をリアルタイムで検知できるシステムが整ってきており、犯行を “未然に防ぐ” 仕組みや、犯罪者を生まない環境を作れる、と述べて講演を結んだ。
●「秘密管理性」「有用性」「非公知性」営業秘密の三要件
キーノートレベルの登壇者が二人も三人も、ときには四人も五人もいるのが日本プルーフポイントのカンファレンスの特徴のひとつである。アンダーソン・毛利・友常法律事務所外国法共同事業 パートナー弁護士の田中 勇気 氏は「内部不正による情報漏えいリスクへの実践的アプローチ」と題した講演を行い、企業が直面する内部不正と営業秘密の漏えいリスクに対して、法的視点と実務的アプローチから知見を共有した。
田中氏は、大型の情報漏えい事件の多くが「基幹技術にアクセスできる従業員の退職後」に発生していると指摘した。
経産省の「営業秘密管理指針」は 2015 年に全面改定され、不正競争防止法も強化された。しかし、退職者による情報漏えいは減るどころかむしろ増加傾向にある。2024 年における情報漏えい関連の刑事事件の検挙件数は 22 件、警察への相談受理件数は 79 件に上り、実に「5 日に 1 件」のペースで何らかの漏えいが日本国内で表面化している計算になる。
「情報に足は生えていない。漏えいは “人” を介して起きている」 田中弁護士はそう断言した上で、企業はまず “誰が何にアクセスできるか” を洗い出し、特にキーパーソンの管理を徹底すべきであると述べた。
営業秘密として法的保護を受けるためには「秘密管理性」「有用性」「非公知性」の 3 要件を満たす必要があるが、特に営業情報の場合は「会社固有の価値を示す記録」が求められる場面が多い。
2025 年 3 月には指針が再度改正され、民事と刑事で求められる「秘密管理性」の要件に違いがないことが明文化された。実務上は、刑事の方が民事よりも、また営業情報の方が技術情報よりも高い管理レベルを要求される場面が多く、運用上の難易度は依然として高いという。
● 記録媒体を最優先に
セキュリティ対策や情報漏えい対策は、理想を追いすぎると現場で機能不全を起こす。田中氏は「完璧を目指す必要はなく、まずは 60 点を取りに行くべき」と述べ、その中で最優先されるべきは「記録媒体の持ち出し困難化」と語った。
「何度も言います。記録媒体です。くり返します。記録媒体です(田中)」
きわめて大事なことなので複数回も言ったのだろう。本誌読者の実務担当者は心にとどめていただきたい。
特に在職中の “事前準備” (開示の申込みなど)を立証するのは困難なため、持ち出し行為(USB、メール送信、クラウド保存など)の有無が刑事告訴の成否を左右する決定的な材料となるという。
現在、多くの企業が利用する PC ログやメールを監視するツールには「アラートが多すぎる」「データが無機質で分かりづらい」といった課題があるという。田中氏は「真の異常に絞ったアラート、かつ第三者にも理解しやすい証拠性のある記録が求められている」と述べ、AIを活用した内部不正探知ツールの導入を強く推奨した。
紙媒体よりも電子媒体の方が証拠として有効である点にも触れ「物理的に紙をコピーされたら分からない。だが電子データは操作履歴が残る」とし、DX 時代の証拠管理の考え方を示した。
●「情報漏えいには退職者が関与」 ─ 内部脅威の実情と抑止の現実解を語る
日本プルーフポイント株式会社 チーフエバンジェリストの増田(そうた)幸美 氏は「企業における内部情報漏えい対策と経済安全保障」と題して講演を行った。増田氏は、内部不正がもたらすリスクの実態を最新データや国際情勢と絡めて解説し、効果的な対策とその現実的限界について言及した。
増田氏は冒頭で、「日本ではサイバー攻撃よりも内部からの情報漏えいが 10 倍多く起きている」と指摘した。多くの企業が外部攻撃対策にリソースを集中させている一方、実際のインシデントの大多数は内部から発生しているという実情を訴えた。
漏えい経路の上位は「退職者による持ち出し」「現職社員の誤操作」そして「外部からの攻撃」が続く。とりわけ、73 %の CISO が、情報漏えいには退職者が関わっていたことを認めており、オフボーディング(退職時対応)の不備が重大なリスクとなっているという。
転職が一般化する中で、退職に伴う情報漏えいが加速している。正社員の転職率は 7.2 %に達し、特に 40 代・50 代の転職が増加している。増田氏は「退職時の扱われ方が、その後の行動に影響を及ぼす」と述べ、丁寧な退職プロセスが感情的な軋轢を防ぎ、不正抑止に有効であると強調した。
また、オフボーディングを直属上司「以外の」部門が担うことで、退職処理の公平性・一貫性が担保されやすくなるとした。アクセス権限の自動変更やデータ取り扱いの監視といった技術的な仕組みも、企業の信頼を守る上で不可欠である。
一方で、国家等によるものと推測される、企業や研究者に対する “情報の引き抜き” が SNS 上で密かに行われているという。LinkedIn などのビジネス SNS を介し、中国・ロシア・北朝鮮の関係者を名乗る人物が専門家に接触し、仕事やコンサルタント案件を装って機密情報を引き出す手口が確認されている他、都内で海外からのインバウンド観光客を装ってターゲットとなる日本人キーパーソンに接触してきた驚きのケースなど、会場では生々しい増田氏の講演らしい事例がいくつも紹介された。
●「不正のトライアングル」と 0.01 %の抑止力
内部不正の発生要因は「動機」「機会」「正当化の理由」の 3 要素からなる「不正のトライアングル」によって説明される。このうち「動機」は金銭的問題や恨み、業務上の利便性の追究など様々であり根絶は困難だが、「機会」を減らす監視体制と、「正当化」の理由を潰す教育研修の実施によって抑止が可能である。
増田は、ある通信キャリアの CISO が語ったという「99.99 %の誠実な社員を守るために 0.01 %に対して抑止力を発揮する」という言葉を引用し、あわせて Proofpoint が監視の対象とするのは “人” ではなく “行為” であるという原則を述べた。
Proofpoint が提供する内部脅威対策ソリューション Proofpoint ITM は「リアルタイムアラート」「記録」「阻止」という三位一体の機能を通じて、アノマリーな行動に即応可能な体制を構築できる。ファイル名を偽装した情報持ち出しや、USB やクラウド転送、あるいは印刷など、あらゆる抜け道を可視化し、証拠性の高い記録として蓄積する。
これに加えて「監視する人を監視する」いわゆる “ウォッチ・ザ・ウォッチャーズ” の仕組みを導入することで、監視体制そのものの公正性も担保することもできる。
●経済安全保障の文脈でも企業に責任
産業スパイのリスクは経済安全保障の観点からも深刻な脅威であるが、日本にはスパイ防止法が存在せず、実行力ある対処が難しい現状がある。そのため、企業が自律的に内部不正対策を構築し、外国人労働者や契約社員を含む全社員に同一ルールを適用していく必要がある。
増田氏の講演の趣旨は、過度な性悪説に立つのではなく「現実的なリスクに現実的な技術とルールで応える」という、冷静かつ実務的なアプローチという点で一貫していた。
● “データセントリック” の限界と課題
日本プルーフポイント株式会社 シニアセールスエンジニア 磯村 直樹 氏は俳優の吹越 満が庶民的な役作りをしたような紳士である。日本プルーフポイントにはかつて本誌が記事にした内田 浩一 氏や高橋 哲也 氏といった、華の無さが逆に華になっているような「いぶし銀」の味わいの技術者が多い。磯村氏は「情報漏えい対策から内部不正対策へのシフト」と題した講演を行った。
同氏は従来の「データ中心(データセントリック)」の対策から、「人間の行動中心(ヒューマンセントリック)」の視点への転換こそが、今後の情報漏えい・内部不正対策の鍵になると語った。
データを中心に置く従来の情報漏えい対策では、企業が自ら重要情報を定義し、データに都度重要度のラベリングを行い、ラベル別にポリシーに基づいて漏えいを検知・防止してきた。しかし、磯村氏は「情報の重要性は時間とともに変化するため、都度見直すのは現実的ではない」と述べ、このアプローチには限界があると指摘した。
また、データを軸とした DLPは、漏えい直前の “瞬間” しか把握できず、ユーザーがそれまでに行った操作や、そこから浮かび上がる意図を明らかにできない点で、内部不正に対する抑止力としては弱いという。
プルーフポイントが提供する Proofpoint ITM の ITM とは「インサイダー・スレット・マネジメント」の略である。ITM は PC にエージェントを導入し、ユーザーのあらゆる操作を時系列でコンテキスト込みで記録する。閲覧履歴の削除や、大量のファイルアップロード、ゴミ箱を空にする操作など、不審な振る舞いを検知し警告を出すと同時に、管理者に通知される仕組みとなっている。
磯村氏は「重要なのは “不正にかかる時間を稼ぐ” ことと “行動が監視されているという抑止力” 」と語る。ITM は、ユーザーに “見られている” 感覚を与える機能を持つと同時に、不審な操作を遅らせる構造になっており、これが実効性のある抑止につながるという。
ITM と連携するヒューマンリスクダッシュボードは、個々人別のリスクを 10 点満点で可視化し、「誰が」「どのような行動をとり」「どれだけ危険か」を明示し、監視強化や教育研修の実施、設定変更などの具体的な次のアクションを提示する。
これによって管理者は「どこから手を打てばいいか」が明確になり、対策の優先順位をつけやすくなる。ITM の今後のロードマップとして、AI による「情報の自動分類」「アノマリー検知」「ヒューマンリスクダッシュボードの強化」が予定されているという。
● 内部脅威対策:誰もが安心して働ける環境の実現
須藤記者が「犯人はあまり深く考えておらず、監視すればすぐに見つかる」と指摘し、田中弁護士が「情報に足は生えていない。漏えいは人を介して起きている」と断言したように、内部脅威の本質は人間の行動にある。
結局のところ、増田氏が引用したある CISO が語った「99.99 %の誠実な社員を守るために 0.01 %に対して抑止力を発揮する」という言葉こそが、内部脅威対策の核心を表している。内部脅威対策とは組織全体の信頼を守り、誰もが安心して働ける環境を技術によって実現することである。
最後に付記しておくと Proofpoint 製品は、情報漏えい・内部脅威対策の分野で高いグローバルシェアを持ち、エンタープライズ DLP 対策実施企業の実に 4 社に 1 社が Proofpoint 製品ユーザーである。
