株式会社ジンテック

Jライブラリー

見えない内部不正に、経営はどう「一手」を打つか
(第18回)

名和利男 コラム

はじめに ― 本当の脅威は「見えないこと」

金融機関にとって、内部不正は「技術の難しさ」よりも「見えなくなること」が本質的な脅威です。社内で当たり前に使う外部サービスや生成AI(AIが文章や要約を自動生成する仕組み)、自宅や移動中の端末利用が広がり、監査の目が届きにくい場所が増えました。経営がすべきことは、すべてを止めることではありません。業務を流しつつ、危ない流れだけを確実に絞る設計に切り替えることです。

なぜ見えなくなったのか ― 三つの原因

第一に、外部サービスとの連携を一度許可すると、その「許可」が長く生き続け、誰が何に触れられるのか分かりにくくなっています。第二に、個人のクラウドや生成AIの利用が、データの保管場所を分散させています。第三に、部署やシステムごとに記録(ログ)の形式がバラバラで、あとから追跡しようとしても時間がかかります。これらは、悪意のある行為だけでなく、善意のミスでも同じように被害を拡大させます。

どのサインに気づけばよいか ― “ズレ”の見つけ方

権限が普段より広い、深夜のアクセスが増える、印刷やPDF化が急に多い、外部への送信が連日続く ― こうした小さな“ズレ”の積み重ねが、重大事故の前触れです。最近は、人の振る舞いの変化を見つける仕組み(行動分析ツール)を導入し、異常に見えたら自動で一時停止させる運用が現実的になりました。ここで大切なのは、「止めすぎない」ことです。仕事が進む最低限の道は残し、怪しい経路だけを狭める。これが社員の不満を抑えながら、被害を最小化するコツです。

指標で語る経営 ― 時間と効果を数値化する

経営に向けては、指標で語ることを提案します。ひとつはInsider-MTTR(内部不正の検知から復旧までの合計時間)です。検知までの時間、封じ込めまでの時間、復旧までの時間に分けて詰まりを見つけ、全体を48時間以内に収めることを暫定目標にします。もうひとつは損失回避額/投資額です。たとえば、外部への持ち出しを早期に止められたことで想定損失がいくら減ったかを見積もり、投資額で割って効果を示します。数字で語ると、現場の苦労が経営判断につながります。

加えて、未分類データ率という簡単な指標を置くと有効です。これは、重要・社外禁止・要承認といった区分の“ラベル”が付いていない資料の割合を指します。どれだけ大事なものが無防備に流通しているかを、ひと目で把握できます。四半期で二割以下まで下げる、といった目安を掲げると、部門横断で取り組みやすくなります。アラート(警告)については“数”ではなく“質”を重視し、有効アラート率(見て意味のあるものの割合)を管理します。大切なのは、失敗を恐れず小さく回し、毎月の経営会議でダッシュボードを更新する“習慣化”です。

具体例でつかむ ― “前触れ→最短対応→効果”

ある機関では、外部サービスに与えた古い「許可」が残り、退職者の端末からもシステムに触れられる状態でした。連携の棚卸し(どのサービスに何を許したかの総点検)と、長く使われていない許可の自動失効を設定した結果、深夜帯の不審なアクセスが消え、調査に割く時間も半減しました。

別の機関では、生成AIで作った要約が自動で個人クラウドに同期され、取引先情報が外部に移る恐れがありました。「社外禁止」「社内限定」といったタグ付けを徹底し、タグに反する移動は自動で止める仕組みを入れると、持ち出しのアラートが大幅に減り、現場の負担も軽くなりました。

もう一つ、委託先アカウントが常に高い権限を持っていた例では、必要な作業のときだけ権限を出し、時間が来たら自動的に戻す方式に改めました。結果として、作業は滞らず、万が一の乗っ取り時も影響範囲を小さく抑えられました。

90日で効く八つの施策 ― 順番と一貫性がカギ

①外部連携の棚卸しを行い、古い許可と過剰な許可を失効させる。②管理者権限の貸し出しは「必要なときだけ・時間限定」にする(都度付与の運用)。③印刷やPDF化は仮想プリンタで制御し、誰が何を出したかを残す。④「大事なデータ」に必ずタグを付ける(社外禁止・保存先など)。⑤会社の外に出る通信で、タグと合わない動きは自動で止める。⑥監査記録の項目名と時間の基準(UTC=世界共通の時刻基準)をそろえる。⑦生成AIの社内ルールを最小限でよいので先に決める(禁止例と許可例を明文化)。⑧外部の委託先や出入りの多いアカウントは、端末の紐づけ本人確認を組み合わせて厳格にする。どれも難しい技術ではありませんが、順番と一貫性が重要です。

よくある落とし穴 ― 避けたい三つの誤り

第一に、「全部止める」を選ぶこと。短期的には安心でも、必ず抜け道が生まれ、現場は独自運用に走ります。第二に、先に高価な道具を入れること。使う前提や人の役割が固まっていないと、効果が出ずに疲弊します。第三に、指標を増やしすぎること。最初はInsider-MTTR、損失回避額/投資額、未分類データ率の三つだけで十分です。

明日からの三つの一手 ― 合意と役割の明確化

第一に、連携の棚卸しを始め、90日以上使っていない許可は原則停止する。第二に、重要なデータのタグ付けを一気に進め、少なくとも八割を「社外禁止」などの区分に載せる。第三に、生成AIの最小ルールを全員に周知する ― 機密や個人情報の扱い、外部への貼り付け禁止、相談窓口の明記です。そして、誰が最終判断を下すのか(広報・法務・システムの役割分担)を一枚で決めておきます。内部不正は「止める技術」だけでは防げません。「見える化」「決める人」「進める順番」がそろったとき、数字は必ず良い方向に動きます。

※本内容の引用・転載を禁止します。

Cookie の使用について
当ウェブサイトでは、お客様の利便性向上や、サイト改善のためにCookieを使用しています。
詳細についてはCookieポリシーをご覧ください。

pagetop