内部脅威 ―「大量離職時代」がデータセキュリティに与える影響とは

新型コロナウイルスのパンデミック時に心理学者アンソニー・クロッツ氏が予測した「大量離職時代」は、世界中のあらゆる組織に大きな影響を与えました。

米国で始まったこの現象は世界中に広がり、2021年には過去最多の従業員が離職しました。米国では2021年11月だけで450万人近い人が自主的に退職しましたが、これはひと月の数字としては過去最大です。

現在、人材の獲得と維持に苦慮している組織もあることから、一部のメディアは、この現象を「離職の津波」と称しています。しかし、組織が対処する必要のある課題はそれだけではありません。

データセキュリティのリスクと高い離職率

企業のトップは、現代の人々が直面するかつてないスキル格差に対処するだけでなく、過去に例のない大量の離職に伴って起こるデータセキュリティのリスク回避にも取り組んでいますが、これらの問題を解決するのは非常に困難です。

従業員が離職する際、データ損失のリスクはつきもの。最近のレポートによると、全従業員の3分の2（63％）近くが前の職場のデータを持ち出し、現在の仕事で利用していることを認めており、それ以外にも無意識にデータを持ち出している人は数え切れないほどいると考えられます。

それが故意または偶然であっても、致命的な結果をもたらす可能性があることには変わりません。結局のところ、大量離職は、組織がここ数十年の間に経験する最大の内部脅威となりうることが判明したのです。

内部脅威に対する懸念の高まり

離職率はセキュリティと切り離して考えることはできませんが、残念ながら、過去2年間は特に、必ずしも対策が実行されていませんでした。

人材の大量流出が続く中、企業が人材の獲得と維持に注力するのは当然のこと。しかし、従業員の雇用や退職時にデータの管理を怠ると、サイバー攻撃を受ける可能性が高くなるのです。

数多くの企業がハイブリッド型勤務形態に切り替えた結果、このリスクは一層高くなっています。パンデミックでは、テレワークが急速に拡大したため、従業員が自身の端末を持ち寄るBYOD（Bring Your Own Device）が急増しました。これによって、犯罪者の攻撃対象が拡大するとともに、組織のコントロールが及ばないデータのサイロ化が進む可能性があります。

パンデミックの１年目は、従業員の67％が個人所有のデバイスで仕事の一部をこなしていると回答しています。さらに、87％もの組織が、個人のスマートフォンからモバイルビジネスアプリケーションやその他の重要な情報にアクセスする従業員の能力に頼っていると回答しています。

テレワークで高まるセキュリティリスク

テレワークに急速に移行する際は、BYODには大きなメリットがありますが、データハイジーンとデータセキュリティの面で難点があるという可能性は見過ごされがちでした。

これは、セキュリティの重大な盲点です。企業の71％は従業員が転職する際に通常、どれだけの機密データを持ち出しているかを把握していないと認めています。

機密データは、以前の雇用主に対する影響力を得るため、あるいは新しい雇用主に競争優位性を与える目的で、悪意を持って使用される可能性があります。しかし、従業員自身がデータを持ち出していることに気づかず、しかもそのデータを全く使用していないとしてもセキュリティ上のリスクは極めて高いのです。

このようなデータ損失の問題は、離職率が平均的な時でも十分重大ですが、大量辞職時代にBYODやハイブリッドワークへの移行が組み合わさると、問題はさらに悪化します。

データ損失は通常どのように発生するのか

データの流出には、悪意のあるものとそうでないものの2種類があります。悪意のあるデータ流出は、多くの組織が認識している以上に頻発しており、退職する組織に損害を与えるか、次の事業で有利に進める目的で、離職する従業員が故意に機密データを持ち出すのが一般的です。

従業員の役割やアクセスレベルにもよりますが、特に退職にまつわる「オフボーディング」のプロセスが徹底されていない限り、従業員がデータを組織から持ち出すことは難しいことではありません。

元従業員の電子メールアカウントが有効なままである、会社のサーバーへのアクセス権を剥奪していない、監視下にない個人用デバイスを日常業務に使用させる、などがよくある問題です。データ損失は、悪意がない場合や偶発的な原因でも起きますが、危険なことに変わりはありません。2021年に発生したランサムウェア「Nefilim」の攻撃では、攻撃者が企業ネットワークに侵入するための主要な手法の一つとして、元従業員のログイン情報が有効なまま残されていた、いわゆる「ゴーストアカウント」を利用していたことが判明しました。

ある事例では、攻撃者は、管理者権限を持つ死亡した従業員のアカウントを乗っ取り、企業ネットワークに自由にアクセスできるようにしていました。このような休眠アカウントは驚くほど多く、外部攻撃者が脅威を及ぼす主な経路の一つとなっています。

従業員が組織を離れた後も、特定のデバイスでユーザーアカウントにログインしたままというのはよくある話です。また、タブレット端末やスマートフォンなどの会社所有の端末を返却し忘れたり、ひどい例では返却を求められなかったりするケースもあります。このような場合にも、徹底したオフボーディングプロセスがリスク軽減につながるのです。

内部脅威のリスクを軽減する方法

大規模なハイブリッド勤務形態という、未知に近い領域が拡大するにつれ、企業にとってセキュリティ・ハイジーンを徹底することがかつてないほど重要になっています。データの取り扱いに関する確固とした規則を策定し、従業員が許される行動、許されない行動を明確にする必要があります。

これで悪意のある内部関係者を阻止できるわけではありませんが、明確な規則を設けることで、従業員が離職した際に不慮の損失が起きる可能性を低下させることは可能です。

また、従業員がテレワークをしている場合は、最小権限または「ゼロトラスト」の原則を適用する必要があります。これにより、組織が保有するすべてのデータについて、それを必要とする従業員だけが利用できるようになり、機密データにアクセスできるアカウントの数が制限され、内部脅威が発生する確率が低くなります。

全従業員に対する全社的な安全対策を講じるとともに、オフボーディングプロセスを綿密に行うことも重要。これは、特に離職する人材よりも、新しく入ってくる人材に重きを置いている組織が陥りがちな問題です。過去の経緯が今後の展開と同等かそれ以上に重要であるという、サイバーセキュリティの分野では珍しい事例の一つなのです。

企業には厳格なオフボーディングプロセスが必要

従業員が離職した後は、いかなるユーザーアカウントも有効なままにせず、離職前にログを十分に確認して外部のソースにデータが転送されていないことを確認することが必要です。従業員が退去した後も、オフボーディングプロセスを継続し、定期的にアカウントを監視してすべてのアクセス権が確実に失効していることを確認しなければなりません。

組織は、内部脅威のリスクを100％阻止することはできませんが、適切な焦点やリソースで99％を目指して努力し、目標達成することは可能です。

例えば、チェック・ポイント社のサイバーセキュリティ・ソリューションは、組織が安全で合理的なオフボーディング環境を構築し、データの損失や流出リスクの低減をサポート。エンドポイントデバイスの自動監視や直感的なゼロ・トラストセグメンテーションから、デバイスの異常を検出し、自動的にセキュリティポリシーを供給・拡張できるマルチレイヤーのクラウドセキュリティまで、ソリューションはさまざまな機能を備えています。

内部脅威は、その名の通り、危機の時代には誰にも気づかれずひっそりと存在しています。「大量離職時代」は、データの取り扱いに関する不注意な行動と悪意ある動機が発生しやすい危機でもあるのです。

企業は、従業員の離職について、雇用する際と同等の注意を払うことで、2022年以降も自社ネットワークを安全に保つことができるでしょう。