内部不正対策の鍵は2つの「隔離」、教訓生かし守り固めるベネッセ - ITpro

全3243文字

　内部不正を防ぐには、組織やデータ資産の管理、システム構成など様々な視点からの対策が必要だ。企業は何を優先し、どのように取り組めばよいのか。ベネッセホールディングス（HD）は2014年7月に発覚した大規模な個人情報漏洩事件以降、内部不正を含むセキュリティー対策を施してきた。

　「オンプレであろうとクラウドであろうと、やるべきことは一緒」――。ベネッセHDの植田省司Digital Innovation Partnersインフラソリューション部部長はこう強調する。約10年間で同社のインフラはオンプレミス中心の構成からクラウドを中心とした構成に変わるなどの変化もあった。しかし、「どこにログを蓄積するか、何の通信ログを取るかなど、実装の方法が変わるだけ。考えを大きく変える必要はなかった」（同）と話す。

　内部不正対策の本質は、インフラやセキュリティーツールが変わっても変わらない。情報処理推進機構（IPA）が2022年4月6日に公開した「組織における内部不正防止ガイドライン」（第5版）では基本方針や資産管理、物理的管理、技術・運用管理など10の観点が示されている。その上で、企業が課題とするリスクに必要な対策を検討すべきだと示す。

　ベネッセHDの事例は、内部不正による情報の持ち出しや漏洩を防ぐ参考になる。同社は組織体制やインフラの構成、アクセス権限、端末の制御などで内部不正対策を徹底する。

3つの組織が相互にけん制

　内部不正対策の大前提として、セキュリティーに関するルールを決める機能と、そのルールをシステムに実装する機能を企業内に持つことが必須だ。外部に任せることはできない。ベネッセHDでは、ルールを決める組織とルールを実装する組織を分離させている。例えば前者が「従業員を監視する」というルールを決めた場合、どのように監視するかは後者が決める。これにより、「セキュリティーよりも実装しやすさを優先させたルール」などがつくられることを防ぐ。

　そしてルールの運用については、これらの組織に加えて、データを利用する事業部門の3者で連携及びけん制し合う体制にしている。植田部長は「利益関係が一致しない体制にしている」と説明する。

　特にルールを決める組織とルールを実装する組織の情報共有は密にする。セキュリティーに関するルールの策定やガバナンス機能を担うのは、同社のコンプライアンス・セキュリティ本部配下にある「情報セキュリティ推進部」。そして、技術的な実装機能を持つのが、同社でDX（デジタル変革）などを担うDigital Innovation Partners配下の「インフラソリューション部」だ。この2つの組織は週に2時間程度の定例会議を設けており、セキュリティーに関するマネジメントやリスク、プロジェクト進捗について相互に議論する。

　「閉じずにみんなで議論すること」（植田部長）を心がける。会議のあり方としても、一方がただ報告するような会議にしない。仕様1つをとっても、セキュリティーにおいてガバナンスを効かせる目線で必要な要件と、実装において最も適切だと考える技術要件をそれぞれ話し、最終的な要件が決まるような体制をとる。

本特集の一覧

Adblock test (Why?)