人的リスク管理（PS/AT）の重要性

前回は「施設セキュリティ（PE^※1/MA^※2）とメディア管理（MP^※3）」について、非IT的観点から物理的な防御について解説した。

本記事は、人的リスク管理（PS^※4/AT^※5）の重要性について解説する。

これまでの連載を通じて、技術的な対策、物理的な対策について詳しく触れてきたが、最終的にこれらの対策を運用するのは「人」である。SP800-53において、人的セキュリティ（PS）と意識向上・訓練（AT）が独立したファミリーとして定義されているのは、人的要因がセキュリティ全体に与える影響の大きさを物語っている。

サイバー攻撃が高度化・巧妙化する現代において、最も脆弱で、同時に最も重要な防御要素が「人」なのである。どんなに高度な技術的対策を講じても、それを運用する人間が脆弱であれば、すべての防御が無意味になってしまう。

^{※1 PE：Physical and Environmental Protection（物理的および環境的保護）
※2 MA：Maintenance（保守）
※3 MP：Media Protection（メディア保護）
※4 PS：Personnel Security（人的リスク管理）
※5 AT：Awareness and Training（セキュリティ意識向上とトレーニング）}

本格的なサイバー攻撃や内部脅威を成立させるにあたって、最も効果的なのが「人的要因の悪用」である。攻撃者は必ずしも高度な技術的手法のみに依存するわけではないということだ。一昔前の映画であれば、フードを被ってポテトチップスを食べながらノートパソコンに向かうハッカーが、いとも簡単にシステムを乗っ取る描写が多かった。現代の映画は我々専門家から見ても物凄く出来が良くて、特に人に対する攻撃についての描写の増加が顕著である。これは、ソーシャルエンジニアリングと呼ばれる手法で、従業員を欺いて機密情報を聞き出したり、フィッシングメールによって認証情報を窃取したりするものである。場合によっては、不満を抱いた従業員を内部協力者として取り込み、長期間にわたって内部情報を窃取し続ける巧妙な手法もある。

これまではシステム屋とハッカーとの間の問題だと思われてきたサイバー攻撃というアジェンダが個人にも飛来するという言い方をすれば恐ろしいが、裏を返せば、それだけシステム屋の努力が実り、そう易々とサイバー攻撃が完結する世の中ではなくなったということでもある。

とはいえ、個人を狙うなどというのはあくまでも「大企業の中の話ではないか」という意見を持ってこの記事を読み進めている人もいるかも知れない。しかし、多くの中小企業経営者は私の話に理解を示していただけると思っている。

執筆時点では転職サイトを装って、転職希望社の情報を収集する活動が話題になっている。一見するとこの攻撃手法は、攻撃者が個人情報を窃取するために実施していると思えるが、実はもっと高度で泥臭いことをしているのである。それは、ヘッドハンティング企業との連携である。驚くことにこの攻撃者は、企業の重要なポストに付いている者の情報を、サイバー攻撃者の他に、ヘッドハンティング企業のエージェントにも売買している疑いがあるのである。これを副業としてやっているから本当に彼らの商魂たくましさには屈服するところがある。大企業でもこの調子なので、中小企業の社員が退職とともに重要情報を持ち出すなんてことは日常茶飯事なのである。退職せずとも、経理担当者が給与計算ソフトのパスワードを付箋に書いてモニターに貼り付けていたり、総務部員が全社員の個人情報が入ったUSBメモリーを紛失したり、中小企業の人に起因するサイバーインシデントというのは毎日何かしら発生していると言っても過言ではないだろう。いかにIT的、物理的にセキュリティを充足させていたとしても、人的要因が脆弱であればすべての対策が無意味になってしまうのである。

悪意の有無を問わず、企業内の人を媒介とした不正が検知しづらいのには、日本の企業文化が大きく関連しているといえ、それは皆さん耳にタコができるほど聞いてきたであろう「性善説」に基づいた人事/IT管理ということにほかならない。また、「犯人探しは悪」というのも然りである。

経済安全保障が叫ばれる昨今、大企業であれば、最低限この部署は採用時の身元調査を徹底し、定期的な不正の有無の評価を実施するべきであるという目標意識を持ち、まずは機密情報を扱う部署から始めるべきであるし、中小企業であっても本来そうあるべきなのである。人手不足を背景に、怪しい人物が企業内に潜伏する例があとを絶たない。特に日本の中小企業が保有する要素技術を数年かけて習得/収集し、国外企業に転職したり、M&Aに意図的に持ち込んだりする例も把握している。

前述したのが、CSFで言うところの「特定」に当たる。採用時と退職時の最低限のスクリーニングである。

次に、「防御」の観点から権限管理と職務分離について記述する。つまり、従業員の身元調査を実施するだけではなく、組織内での役割と権限を適切に管理し、単一の従業員に過度な権限が集中しないような仕組みについてである。主に「最小権限の原則」「職務分離」「定期的な権限見直し」がこれに該当する。この点についての技術的な記載はアクセス制御についての記事を参照されたい。

単純な権限制限だけでは、昨今の巧妙な内部脅威には対応できない。例えば、重要な業務プロセスを複数の従業員に分散させることで、単一の従業員による不正行為を防止する職務分離や、定期的な権限見直しによって不要な権限の蓄積を防ぐ仕組みを組み合わせることで、飛躍的に内部脅威を抑制する効果を向上できる。内部脅威が発生しようとする場合、職務分離が実装されていれば、単独での不正行為が困難になり、共謀せざるを得ないため、発覚のリスクが増大し、極端に犯行コストが肥大化することになる。これが俗に言う内部統制の人的側面である。

設計図面情報の不正持ち出し事例を例に取る。ある製造業の会社で入社一年足らずの従業員が退職前に設計図面を持ち出そうとした事例があったが、適切な「権限管理」と「職務分離」の取り組みにより検出ができたのだ。具体的にはファイルアクセスログの監視と、退職可能性の高い社員の権限を極限まで絞るといった内容である。本事例では、不正を試みた従業員が権限を有する別の従業員に共犯を持ちかけ、この従業員からの内部通報により不正が明るみとなった。

大企業であれば、AI技術を活用して従業員の行動パターンを分析し、異常な行動を検知するUser and Entity Behavior Analytics（UEBA）システムも導入を検討すべきだ。特に中小企業では「一人情シス」や「一人経理」といった状況で、単一の従業員に過度な権限が集中しがちであるため、一層の注意が必要である。

ここまでは人を疑うというあまり気持ちの良くないことを記述してきた。ここからは、監視ではなく教育にフォーカスする。

内部犯行に対して人的セキュリティの基盤が整備されても、善意の従業員に対するセキュリティ教育がなければ、結局人を狙ったサイバー攻撃の餌食となり、意図しない内部犯行の踏み台となってしまう。しかし、単発的な研修では従業員の行動変容を期待することはできない。そうではなくて、定期的な教育と実践的な訓練を組み合わせることで、セキュリティ意識を組織文化として根付かせることが、現代のサイバー攻撃や内部脅威に対する有効な対策となるのである。

このような継続的な教育プログラムを実施するには、当然であるが組織の業務特性やリスクレベルに応じたカスタマイズが必要である。こういった教育プログラムは、外部の専門機関が提供するセキュリティ教育サービスを活用することを強く推奨する。これまでの連載でお気付きの通り、貴社の「セキュリティ担当者」では想像もできないような手口でサイバー攻撃というのは実施されるのである。

SP800-53では意識向上・訓練の重要な要素として、フィッシング攻撃への対策を位置づけている。2025年のサイバー攻撃を分析してみると、フィッシング攻撃を入口とする攻撃が目立つ。AT-2からAT-6では「Awareness Training（意識向上訓練）」なる概念が詳細に定義されている。一度でもフィッシング攻撃を受けたことがある人は、その巧妙さと危険性を身をもって体験したことがあるかもしれない。

細かく説明しようと思えば膨大な量になるが、NISTにおけるフィッシング対策とは、大まかに言えば以下の2つが主要素となる。

教育による意識向上において強く推奨されているのが「実際のフィッシング事例を用いた具体的な教育」である。抽象的な説明のみだと、実際の攻撃に対応しきれないからだ。また、「実践的な訓練」について考えるにあたっては、SP800-53が実効性のある対策の確立を目指していることを起点に考えればよい。

つまり、模擬的なフィッシング攻撃を実施し、従業員の反応を評価することで、教育効果を測定し、改善点を特定することが求められるということだ。ただし、ここがフィッシング対策最大のポイントなのだが、技術的な対策だけでは完全には防げないため、人的要因での防御が不可欠である。つまり「"技術的な対策をすり抜けたフィッシング攻撃"を最終的に防ぐのは人間の判断力」ということになる。どれだけ高度なメールセキュリティシステムを導入しても、最終的には受信者の判断力が最後の防御線となるのである。だからこそ最新の攻撃手法を知る専門企業が提供する実践型のトレーニングには価値があるということだ。

本記事で紹介した「人的セキュリティ（PS）」「セキュリティ意識向上・訓練（AT）」は、これまでの連載で解説してきた全ての技術的・物理的対策を支える基盤である。認証システムを運用するのも人、アクセス制御を管理するのも人、施設セキュリティを維持するのも人である。

つまり、人的要因が脆弱であれば、どんなに高度な技術的対策を講じても、その効果は限定的となってしまう。逆に、人的要因が強固であれば、技術的対策の効果を最大化し、組織全体のセキュリティレベルを飛躍的に向上させることができる。ゼロトラストの文脈で言えば、「Never Trust, Always Verify」の原則は、技術的な要素だけでなく、人的要素にも適用される。従業員であっても、その行動や判断を盲目的に信頼するのではなく、常に検証可能な仕組みを構築することが重要である。これは従業員を疑うということではなく、人間である以上、誤りや判断ミスは避けられないという前提に立った、合理的なリスク管理手法なのである。クラウドやSaaSという言葉がばっこしたのには、この「人的リスク管理を最小限にしたい」という世の中の希望があったのも確かなのである。

要するに、SP800-53に記載されていることを一つ一つ手で実装するよりは、一足飛びに統合的な人的リスク管理基盤の上で運用されているIT基盤に乗ってしまうということである。中でも中小企業であれば、クラウドベースの人材管理システムとセキュリティ教育プラットフォームの組み合わせで十分に実装することができるだろう。重要なのは、技術的対策、物理的対策、人的対策を統合的に捉え、それらが相互に補完し合う包括的なセキュリティ体制を構築することである。

最終的に、セキュリティは人によって運用され、人によって維持されるものであることを忘れてはならない。