IPA「組織における内部不正防止ガイドライン」を改訂、テレワーク・退職者対策・ふるまい検知等の活用など
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」4月27日の放送内容を一部抜粋しご紹介します
・今回の解説ニュース
・内部不正防止対策の主な改訂ポイント
・内部不正を防止するために気をつけるべき考え方
今回の解説ニュース
IPAが公開している内部不正防止のガイドラインが改訂されました。内部不正を防止するために気を付けるべきポイントについて説明します。
今回のガイドライン改訂は、組織における内部不正防止を推進するために、IPAが2013年3月に「組織における内部不正防止ガイドライン」を公開したものを、近年の事業環境の変化や情報漏えい対策技術の進歩などを踏まえ、5年ぶりに第5版として改訂されました。
同ガイドラインでは、内部不正防止の重要性や対策の体制、関連する法律などの概要を平易な文体で説明し、「基本方針」「資産管理」「技術的管理」「職場環境」「事後対策」等の10の観点のもと、合計33項目からなる具体的な対策を示しています。第5版の主な改訂ポイントとして「テレワークの普及に伴う対策」「退職者関連対策」「ふるまい検知等の新技術活用に伴う対策」の3点が挙げられています。
内部不正防止対策の主な改訂ポイント
内部不正防止対策の主な改訂ポイントとして挙げられている「ふるまい検知等の新技術活用に伴う対策」について説明します。
まず、どのようなリスクがあるかについてガイドラインでは、深夜時間帯の大量のファイルダウンロード、重要性が高い情報へのアクセス、役職員の離職、個人用クラウドストレージへの同期などを挙げています。それらのリスクへ対策するために、AI等の最新技術を組み入れた内部不正モニタリングシステムは、役職員の通常行動を学習し、継続的にログを監視し、行動に重大な変化が生じた場合にこれをリアルタイムに特定する機能を提供してくれるということです。
ただし、高機能であればあるほど、これを役職員の保護以外の目的で使用することへのハードルが低くなることが懸念されています。具体的には、従業員のプライバシーや人権を保護するため、個人情報保護法等の法的要求を満足できる組織体制を構築した上で、監視機能の有効性に加えて従業員保護の目的を実現できるシステムを選定し、自動化された判断に頼りすぎない運用体制を構築することが必要であるとしています。
まとめると「プライバシーへの配慮を前提に、AI技術を活用して従業員のふるまいを監視し、適切な対応を速やかに行う」ことを必要としています。
その他のトピック