Webポータルで内部リスクを可視化するマネジメントのノウハウ

Webポータルで内部リスクを可視化するマネジメントのノウハウ

企業のセキュリティ対策では、サイバー攻撃の監視とともに内部リスクのマネジメントを強化する必要があります。

業務環境のデジタル化によって、クラウドの活用とテレワークの実施が拡大した結果、従業員の利用するデバイスやクラウドサービスは幅広い範囲に及ぶようになりました。会社で承認されていないPCやオンラインストレージを利用したシャドーITが蔓延している場合、機密情報の漏えいリスクが高まります。

従来の管理方法では、企業内部の潜在的なリスクの把握が困難になってきました。そこで活用したいのが、組織全体を見渡して実態を可視化するWebポータルです。

リスク検知に特化したビッグデータソリューションを展開している株式会社エルテスの資料をもとに、内部リスク対策を目的としたWebポータルの在り方を解説します。

Microsoft Azure製品カタログ

内部リスクを2つの側面から整理する

企業内で懸念される内部リスクは、大きく分けてセキュリティ面と労務面の2つの側面から分類できます。それぞれどのようなものか概要をまとめます。

セキュリティ面のリスク

セキュリティ面の内部リスクとしては、データ改ざん、情報の社外への持ち出し、認可されていないアプリケーションの利用などがあります。

データの持ち出しの事例を挙げると、退職を考えている従業員が大量の社内ファイルをUSBにコピーして社外に持ち出すような場合です。プライベート用のフリーメールに業務ファイルを添付して送受信するポリシー違反や、アクセスを禁止されているはずのストレージにアップロードして、そこからデータが漏えいする可能性もあります。

内部リスクは、必ずしも悪意から生じるものばかりではありません。テレワークのため個人が所有しているPCにデータを保存して電車に置き忘れてしまったり、フリーウェアがウィルスに感染したり、うっかりしたミスが問題になる場合もあります。

労務面におけるリスク

労務面のリスクでは、たとえば管理者が部下の勤務実態の把握を怠り、不就労や超過残業が蔓延している場合です。

残業申請が必要な企業で、申請時間に業務が終わらずにオフィスに残ってPCを使用しているような状態は、リスキーといえるでしょう。過労死のような場合には、ログに残された勤務状況から社会問題に発展するリスクを孕んでいます。

勤務時間中にも関わらず、業務と関係のないブログやSNSを長時間に渡って閲覧していることも問題です。個人や企業を特定するような書き込みや炎上は、企業の責任が問われます。仕事の合間に転職サイトに登録している従業員にも注意する必要があります。離職リスクが高まると、全体的な士気やモラルを低下させることになります。

アウトソーシングや外部協力会社への業務委託にもリスクがあります。守秘義務を締結していない外部のプログラマーが、受託したプログラムをクラウドで共有して外部に漏えいしてしまうようなケースには注意が必要です。

内部リスクを防ぐためのポイント

内部リスクを検知して未然に防ぐには、まず業務の実態を可視化することが必要です。個人の従業員ベースの行動からリスクを検知します。

内部リスクを検知して防ぐポイントとして、セキュリティ面では情報に対するコンタクトとアウトプット、労務面では従業員の行動と動機を追跡することが重要になります。

情報に対するコンタクトでは、機密情報のファイルなど社内の情報資産へのアクセス、情報資産の保管の徹底と監視、権限などを含めたアカウント管理に留意します。情報のアウトプットの留意点には、グループチャットの投稿やメールサービスなどのコミュニケーションの記録と、ストレージサービスや外部デバイスの利用状況があります。

労務面に関しては、転職や退職などの意向や時期、メンタルヘルスの状況、勤怠など労務管理情報、訴訟や告発の可能性などに配慮します。面談や産業医に対する相談の状況などから状況を把握する必要がありますが、繊細な情報を含むので、プライバシーの尊重や従業員への配慮が求められます。

実態を可視化した上で、セキュリティポリシーを設計し、インシデント(事故)が発生した際の対応フローを定めます。さらに必要であればセキュリティに精通した人材を配置します。労務面では、従業員のモチベーションが低下しないように、抜本的な働き方の改革が必要といえるでしょう。

内部リスクを統合管理するWebポータル

内部リスクの予兆を把握することは非常に困難ですが、リスク検知ソリューションを提供している株式会社エルテスでは、統合管理できるWebポータルを提供しています。企業の内部リスクの早期発見と具体的な対応を支援します。

Webポータルのダッシュボードの画面では、リスク検知結果を視覚的に把握しやすいグラフで表示します。リスクの特定、分析、評価といったアセスメントの結果を可視化することで、組織で問題になっている課題の抽出に役立ちます。さらにケース管理機能で、具体的なリスクの対応や問い合わせを記録して、ナレッジを蓄積することが可能です。

Webポータルを使って、内部リスクに関するサマリとユーザー個別の詳細情報を確認することができます。大きく分けて5つのページで構成されています。それぞれ構成ページの概要を紹介します。

リスクサマリ

リスク検知のサマリで、全社的な内部リスクの程度と傾向を直感的に把握できます。トップには、全体評価の円グラフと閲覧した時点で検知したリスクの高いユーザー数を表示します。部門や職種ごとに診断したログの件数とユーザーをチェックすることも可能です。

リスクの高いユーザーをトップ10で表示し、名前をクリックすることで詳細を確認可能です。ポリシーにしたがって検知した緊急通知の一覧からも詳細を確認できます。それぞれのユーザーには、たとえば認可されていないストレージにファイルをアップロードしたというような、リスクに該当する行動のカテゴリーを表示します。

ページ下部には、現在問い合わせ中もしくは対応中の一覧を表示し、ケースをクリックすることで詳細画面を確認できます。検索フォームによって、ユーザー名、部署名、リスクカテゴリなどのキーワードや、期間を絞り込んで一覧表示することも可能です。

個別傾向

リスクを検知した個別ユーザーに関する詳細情報を表示します。いつ、どのようなリスクのある行動をとったか確認することが可能です。属性、リスクのスコアによる評価、過去のリスク、時系列による検知数、ログの詳細を表示できます。この画面から、問い合わせや対応のケースを作成できます。データと対策をスムーズに連携します。

全体傾向

リスクが起こりにくい環境にするために、セキュリティポリシー遵守の状況や内部脅威に関する脆弱性の調査結果を表示します。過去半年間の結果、リスクの高いユーザーのトップ10を表示し、組織全体の対策検討に活用できます。

アラート

緊急通知として定めたアラートについて、過去半年間の推移をグラフで表示します。指摘期間内の該当ユーザーや、検知されたログの表示も可能です。検知結果の月次件数を可視化することで、対策の効果やリスクの増減などの傾向を把握することが可能です。

ケース管理

リスク対応および各種問い合わせ内容を記録し、経緯を表示して確認できます。株式会社エルテスのアナリストおよび社内でチャット形式のコミュニケーションを行い、コメントのやりとりが記録として残ります。問題解決と対応の進捗を把握が可能で、類似した課題の解決の効率化にも役立ちます。

まとめ

内部リスクを未然に防ぐためには、ログの収集やファイルの利用状況について、ITを駆使して管理することが重要です。しかし、労務面の管理では把握できない部分があります。Webポータルを使って組織全体および個人の状態を可視化することにより、行動からリスクの予兆を検知することが可能になります。

株式会社エルテスでは、内部リスクを検知するWebポータルの無料デモ体験を実施しています。

RELATED POST関連記事


RECENT POST「セキュリティとガバナンス」の最新記事


Webポータルで内部リスクを可視化するマネジメントのノウハウ