掲載月 : 2009年12月
内部不正による情報漏洩への対策が、金融機関においても喫緊の課題と認識されるようになってきてい ます。米国Association of Certified Fraud Examiners のレポート(2008 REPORT TO THE NATION ON OCCUPATIONAL FRAUD & ABUSE)によると、米国ではSOXやSAS70を導入したにもかかわらず、税引前利益の7%の損害額を計上するほど職務的内部不正が報告されています。職務的内部不正は、権限者の関与の割合が非常に高いため検知が非常に難しく、発覚するまでに長期間を要します。また加害者が複数になると、被害額は飛躍的に増加します。職務的内部不正の発覚のき っかけは、46%が内部告発、20%が偶然による発覚であり、検知することの難しさと検知した際の被害 の大きさを示しています。
内部不正が与えるインパクトと対策の現状
図1 加害者数と損失金額の
関係
公共性の高い金融機関にとって情報漏洩は、財務的な損失はもちろんのこと、社会的信用の失墜といった極めて大きな経営的インパクトを与えることとなり、内部不正対策は喫緊の課題であると考えられます。
現在、多くの企業では内部不正の対策として、人間系コントロールとシステム系コントロールを実施しています。人間系 コントロールには、行動規範、方針、規程、啓蒙、研修、運用ルールの整備、承認などがあります。一方、システム系コン トロールには、外部記憶媒体の使用制限、印刷の出力制限、 監査ログ取得、ID管理、DBアクセス制御、メール監視、Webアクセス監視、暗号化などがあります。また、外部監査、内部監査により、これらのコントロールが機能しているかを確認しています。
図2 システムによる内部不正
対策 (392KB)Adobe® Reader®が必要
これまでのシステム系コントロールは、権限をコントロールして情報にアクセス可能な人を減らし、必要最小限の人しかアクセスさせないことで不正発生の可能性を減らそうとしてきました。ところが、前述のとおり、不正の多くは権限が付与された人が重大な不正を犯しているケースが多く、権限を付与された人に対するコントロールの仕組みの構築が求められています(図2)。
注目を浴びるリアルタイムの内部不正検知
従業員には、その業務を遂行する上で必要な権限を付与する必要があります。では、こうした権限を付与された従業員の異常な行動をどのように監視するか、コールセンターを例に説明します。
コールセンターの受電担当者は、顧客からの入電に対して該当顧客情報にアクセスし、場合によってはその内容を更新する必要があるため、顧客情報の参照および更新の権限が付与されています。受電担当者が入電に対してその顧客情報を参照し更新する、これは通常の業務範囲内の行動ですが、該当顧客以外の情報を頻繁に、あるいは大量に参照した場合、その行動は不正の可能性が高いと考えられます。
これまでの内部不正対応ソリューションの多くは、事象が発生した後に、その事象を調査分析する「事後調査型」でした。システムは監査ログ情報などをバッチ処理で収集し、不正手口に合致した従業員を見つけていきます。一方、最近は、不正検知に必要な情報をリアルタイムに収集・分析し、警告を通知する「リアルタイム調査型」ソリューションが出てきています。「リアルタイム調査型」ソリューションでは、不正が検知されるとリアルタイムに警告を発する、あるいは管理者に警告メールを出すといった処理が可能です。
また、内部不正検知ソリューションを検討する上で、検知に必要な情報の入手容易性が重要です。いかに効率よく必要な情報を収集できるかといった点が、収益には直結しない内部不正検知システムへの投資対効果の観点から重要と考えます。入手する情報については、例えば「参照権限のある従業員が顧客情報を参照する」といった行動を表す情報をより多く入手できれば、より高度な内部不正検知が可能になってきます。
「リアルタイム調査型」ソリューションには、権限のある従業員の行動記録まで含めた広範囲な情報を容易に入手可能にするソリューションもあり、注目を集めています。
前述のコールセンターの例では、受電担当者が受電件数と比して、過度の顧客情報を参照した場合、その行動をリアルタイムに検知し、受電担当の管理者に対してリアルタイム電子メールを通知するなどの警告を発することが可能です。
IBMの内部不正検知ソリューション
IBMでは、金融機関の皆様に向け、内部不正対応の実現をご支援する内部不正対応診断コンサルティングと、内部不正検知ソリューションをご提供しています。
内部不正対応診断コンサルティング
内部不正対応を行うための前提として、方針・規程の整備や研修・啓蒙活動の実施など、不正を未然に防ぐための現状の対策の有効性を検証する必要があります。IBMは、多くの金融機関でのプロジェクトにて培ったオペレーショナル・リスク管理を目的とした内部管理プロセス・アセスメント手法を用いて、不正リスク対応の態勢を検証します。この手法
を採用いただくことで、金融機関の皆様にはリスク・コントロールの弱点を把握いただくことができ、同時にIBMはこれを補強するための改善策を態勢面、システム面からご提言し
てまいります。
内部不正検知ソリューション
内部不正検知ソリューションには、「事後調査型」や「リアルタイム調査型」など、いくつかのソリューション別の特徴があります。IBMは個社の要件に応じた最適なソリューション
をそれぞれ選定し、効果的なシステム導入を進めていきますソリューションを選定する前段の作業としては、まず内部不正リスク評価を実施します。過去の不正事例・監査指摘事項等、およびIBM内部不正リスク評価テンプレートを用いて、不正手口を網羅的に洗い出します。次に、それらの中からリスクの高い不正手口を特定し、リスクの高い不正手口に対応するための新たなシステム化の必要性の評価およびシステム化計画を策定していきます。
IBMは、これまでのご支援経験にて培ったアセスメント手法やテンプレートを活用し、内部不正診断コンサルティングから、内部不正検知ソリューションの計画・導入、そして、プロセス定着化までのサービスを一貫してご提供することにより、金融機関の皆様の情報漏洩対策をご支援してまいります。
掲載されている情報は2009年12月現在のものです。内容は事前の予告なしに変更する場合があります。
ソリューション情報は、すべての場合において同等の効果が得られることを意味するものではありません。効果はお客様の環境その他の要因によって異なります。
製品・サービス等詳細については、弊社もしくはIBMビジネス・パートナーの営業担当員にご相談ください。
IBM、IBMロゴ、ibm.comは、世界の多くの国で登録されたIBM Corp.の商標です。他の製品名およびサービス名等は、それぞれIBMまたは各社の商標である場合があります。現時点でのIBMの商標リストについては、http://www.ibm.com/legal/copytrade.shtmlをご覧ください。
Adobe, Adobeロゴは、Adobe Systems Incorporatedの米国およびその他の国における登録商標または商標です。
