企業の情報漏えいというと、サイバー攻撃や不正アクセスといった外部からの攻撃をイメージする人も、多いかもしれません。しかし、実際のところは、内部関係者による情報漏えいも数多く起こっているのが現実です。そのため、あらかじめ内部不正を想定した上で、「証跡管理」を行う企業が増えてきました。テレワークの普及によって、証跡管理の需要はますます増加傾向にあります。この記事では、証跡管理の重要性や、不正操作・情報漏えいを防ぐための企業の取り組みについて紹介します。
【参考】コールセンター在宅化のキモ「セキュリティ問題」を解決するシンプルな方法
証跡管理とは
証跡管理とは、ITシステムを使った業務プロセスや従業員の行動などが、定められたルールに則っているかどうかを示す証拠を管理することです。
従業員の内部不正や、組織ぐるみの不正を防止・検知するためには、証跡管理を行う必要があります。従業員がどのような業務を行い、ITシステムでどんな処理を行ったかを記録することによって、不正を抑止することができます。
証跡管理の重要性について
証跡管理を行うことで、従業員の内部不正を未然に防止するとともに、万が一不正があった場合でも追跡をすることができます。そのため、企業活動を安全に進める上で、証跡管理は非常に重要な業務のひとつです。証跡管理でチェックすべき情報としては、たとえば次のようなものがあります。
データの変更履歴
社内データの改ざんが行われていないか、更新処理は正確に行われているかなどを、データの変更履歴を通して確認することができます。社内のデータを厳密に管理し、必要が生じたときにいつでも参照できる状態にしておくことは、適切に正しく業務が行われていることを示す上でも重要です。
アクセス履歴の把握
内部不正の多くは、従業員自らが正規のIDと権限を使って、情報を持ち出すことによって発生します。そのため、誰が、いつ、どのように情報にアクセスしたかを把握し、その内容をチェックすることによって、内部不正を監視することができます。
信頼性の確保
証跡管理の重要な役割のひとつに、「データインテグリティ」があります。データインテグリティとは、データの改ざんや偽装などを防ぎ、データの正確性と完全性を客観的に担保することです。特に人命に直接かかわる医薬品データを扱う製薬業界においては、データインテグリティの遵守は必須といえます。
万が一社内のデータが改ざんされていたり、外部にデータが漏れてしまった場合は、会社の存続にもかかわる大きな事態となります。データの品質を確保することは、企業の信頼性を確保する上でも、非常に重要です。
【参考】証跡管理とは?企業における目的や重要性について解説
証跡管理システムでできること
不正操作の抑止
証跡管理を行うことで、従業員も軽々しくデータの改ざんや盗用ができなくなり、抑止力となります。もし不正操作によるインシデントが発生したときでも、記録から不正を行った人物を特定できる可能性が高く、誤操作だった場合でもトラブルの復旧に役立ちます。
関係者への警告
従業員が自社で許可していないクラウドを使用したなど、内部不正の疑いのある行為を検出した際には、アラートが鳴って「この操作は管理者により禁止されています」と表示されるなど、警告を発することができます。
近年はお金のために自社製品の機密データを持ち出したり、ライバル企業に譲渡するといったケースも発生しています。しかし、内部不正は立派な犯罪であり、絶対にやってはいけない行為だということを、警告によってあらためて認識させることができます。
責任の明確化
証跡管理を行うことによって、従業員が法令や社内規定などのルールを遵守しているか否かを確認でき、責任を明確化できます。昨今は従業員による情報漏えいが数多く発生しており、責任の所在を明確化することは、経営者としての責務ともいえます。
証跡管理の事例
従業員40名のある専門商社では、これまで操作ログを取得する管理ツールは導入していましたが、実際にどんな操作を行っているかまでは把握できていませんでした。しかし、退職する社員による顧客情報の持ち出しや、重要情報の流出があり、企業の存続を脅かされていました。
そこで、証跡管理システムを導入。パソコン使用者の画面の録画とキーボード入力を、視覚的に把握できるようにし、外出時にパソコンを持ち出す場合も録画してセキュリティを確保しました。
これによって、従業員の内部不正への抑止効果があったとともに、セキュリティ意識も高まり、情報流出などのトラブルも無くなりました。
【参考】導入事例 – 社内からの情報漏えい対策|Ekran
情報漏洩防止への取り組み
アクセス制限
許可されていない人からアクセスがあった場合に、アクセス制限をすることで、情報の漏えいや改ざんなどのリスクを低減させることができます。外部からの不正アクセスを防止するとともに、社内でも従業員が不要なデータにアクセスできないように制限できます。
暗号化
ファイルを他のユーザーが読み書きできない形式に変換することで、情報の漏えいや改ざんなどを防止することができます。万が一暗号化されたファイルに誰かがアクセスしても、「アクセスが拒否されました」と表示され、内容を見ることはできません。
誤送信によって第三者の手に渡った場合でも、ファイルが暗号化されていれば簡単に見ることはできず、操作中に席を外しても他の従業員にデータを盗聴されるリスクを減らせます。
定期的なセキュリティ教育の実施
従業員に対して定期的なセキュリティ教育を行うことで、情報セキュリティに対する意識を高め、内部不正による情報漏洩を防止することができます。
たとえば、ランサムウェアや不正アクセスへの対策、リモートワーク時の盗聴リスクなど、従業員がセキュリティに関して学ぶべき内容はたくさんあります。定期的に教育を行うことで、少しずつ従業員のセキュリティ意識を高めることができ、内部不正の防止にもつながります。
証跡管理・パソコン操作のフル録画クラウド 「ごきげんモニター™」
【参考】ごきげんモニター
日々のパソコン操作を動画で記録できるクラウドサービス
自社の証跡管理をお考えなら、パソコン操作のフル録画クラウドサービス「ごきげんモニター」を活用されることをおすすめします。
「ごきげんモニター」は、日々のパソコン操作を動画で記録できるクラウドサービスです。従業員のパソコン操作を動画で記憶し、マウス操作や画面表示、キーボード入力も、すべて動画で記録されます。
アプリケーションの利用状況や、印刷した内容、インストールの状況なども把握できます。「いつ」「誰が」「どのパソコンで」「どんな操作をしたのか」を把握でき、情報漏えいの抑止力になります。
低コストですぐに導入でき、パソコン1台からでもOK
また、システムトラブルが発生した際にも、原因の究明に活用でき、テレワーク時の内部不正対策にも役立ちます。パソコン操作の教育などにも利用でき、セキュリティ対策を施しながら業務効率・生産性の向上をサポートできるツールです。
クラウドだから低コストで、すぐに導入でき、パソコン1台からでもOKです。独自の技術によって、データ通信料を軽減。パソコンへの負担が少なく、導入前と変わらない操作感覚で作業ができます。
情報の漏えいや改ざんなどを防止するとともに、従業員のセキュリティ意識を高めて質の高い企業活動を行うためにも、証跡管理システムの導入は必須といえるでしょう。
【参考】ごきげんモニター