悪意のあるインサイダーの影響を非技術的に軽減する

今はコンピューターが活躍する世界です。テクノロジーは日々進歩しています。今日、あらゆる組織が機能するために、ある種のコンピュータを使用しています。コンピュータとインターネットは、人間の最良の友です。しかし、非倫理的な方法で使用されている場合、それは彼らが非常に悪い敵に変わる前に時間がかかることはありません。どのような組織でも、データセキュリティの脅威に直面する可能性があります。この脅威は、内部からも外部からも発生する可能性があります。これらの要因に対処するためには、さまざまな方法が必要です。インサイダーの脅威は、アウトサイダーの脅威よりも危険です。読み進めていくと、その理由が分かってきます。

インサイダー脅威は、その名が示すように、組織内部から発生するものです。組織で働く人は誰でも、いつ脅威になる可能性があります。それは状況次第です。インサイダーは、自分が働いている組織に忠実であると考えられています。大半の場合、それは真実です。しかし、例外もあります。そのような人々は、悪意を持って行動する。これは、これらのインサイダーが組織に対して何らかの悪意を持ち、組織の没落を目論むために働くという意味を伝えています。これは非常に危険なことである。

また、悪意のない意図も存在する可能性があります。悪意がないために起こるエラーもまた、組織に害を及ぼします。このようなエラーは、プレッシャーやストレスが原因で起こることがあります。通常、このようなエラーは金曜日か月曜日に発生します。人間は完璧な動物ではありません。しかし、その背後に悪意がないのであれば、ミスは常に許されるものです。気をつけなければならないのは、悪意のあるインサイダーである。彼らは、様々な形で組織に害を及ぼす可能性がある。

歴史的に見ると、悪意のあるインサイダーは、通常、ある時点では最も優秀な従業員の一人です。彼らは、システムに関する十分な知識を持ち、問題のある問題に対処する方法を知っている人たちです。実際、彼らは多くの場合、トラブルシューティングの役割を担っています。彼らは、社内システムへのアクセス権限を持ち、損害を与える能力を持っています。人の心の中を探るのは非常に難しい。この世のどんなコンピューターも、この秘密を見抜くことはできない。通常、組織は特定の責任を負わせる前に、その人の信用を確認する。しかし、どんなに誠実な人でも、時には弱くなることがある。

その結果、組織の利益に反する特定の活動にコミットしてしまう可能性があります。このような理由から、組織はプロセスの各段階でチェックアンドバランスの手順を選択するのです。このようなチェックとバランスによって、悪意のある人物を排除することができるのです。この活動に関する研究とその結果悪意のあるインサイダー活動は、よく研究されたテーマです。調査結果は、誰もが見ることができるようになっています。多くの組織が、このテーマで大規模な研究を行っています。カーネギーメロン研究所は、この分野で先駆的な研究を行った組織の一つです。歴史的なデータが、これらの発見の基礎となっています。

しかし、調査の結果、その傾向は明確になり、以下のようになりました。古くからの格言に次のようなものがある。泥棒は捕まってこそ泥棒である。多くの場合、発見されないままになっている。発見されたケースは、この調査結果の基礎となる。統計的に見ると、このようになります。

• 3分の1の社員は、逃げ切れると思ったときだけ盗みを働こうとする。

• そうでなくても3分の1は盗む。

• 残りの1/3は、盗みの誘惑に負けることはない。

上記の分析から、どのような組織においても、全従業員の3分の2は、誠実さに曇りがあると分類されることがわかります。もう一つ注目すべきは、検知された悪意ある行為のうち、内部関係者が約3分の2を占めているという事実です。

組織が採用している闘争的手法このような行為をチェックする方法は、各組織で独自に採用しています。この初期段階での調査自体が、通常、4分の3以上の悪意ある行動を検知しています。このような場合、組織に被害が及ぶ前に悪意ある行動を発見することができます。しかし、多くの場合、こうした対策は不十分です。このような場合、損失が目に見える形で現れるのです。

これを検知するのは非常に難しい。悪意をもった人は、できるだけ普通の行動をとります。しかし、そのような人が見せるある種のメカニズムは、頻繁に監視する必要があります。通常、彼らは悪意のない人と同じような行動をとります。従って、ケースバイケースで対応する必要がある。そうすると、何の根拠もなく無実の人を追い詰めることになりかねません。そのような人は、後に組織に対して悪意を抱く可能性があります。

悪意を見抜くサインのひとつに、特定の従業員の贅沢な支出様式があります。ある従業員が、通常の支出をはるかに超える支出をしていることが判明した場合、これは警告の原因となります。つまり、油断は禁物ということです。中には、会社を辞めたいと思ったときに、悪意をもって行動する社員もいます。そのような従業員の行動は、厳しく監視する必要があります。そのような人は、仕事に関する限り、他人とのコミュニケーション・チャンネルを減らしてしまうのです。このような特徴は、注意深い監視が必要です。悪意のある人は、休みを取らないという事実があります。ですから、組織はそのような行為を取り締まり、少なくとも1年のうち2週間は休暇を取らせるようにしなければなりません。そうすれば、長期にわたって休暇を取得していない人をチェックすることができます。

悪意のあるインサイダーに対して、経営者はどのような行動をとるべきでしょうか。では、次のようなシナリオを想定してみましょう。あなたがXという企業のCEOであるとします。この企業には数百人の従業員が在籍しています。この中には、高位の上級役人の人物も含まれています。また、働くスタッフには、下級の役員や営業担当者、その他の下級のスタッフも含まれています。この1年の4四半期で、以下のような軽犯罪があった。第1四半期：調査により、パスワードの不正使用が8件発生。調査の結果、外部システムから社内データへのアクセスが確認された。問い質したところ、当該スタッフは知らないふりをした。

その理由として、パスワードの推測や盗難が挙げられています。どんなことがあってもパスワードの機密性を保つことが、彼らのトレーニングの中心的な考え方であった。会社は、このような従業員に対して、何の対処もしなかった。質問です。あなたは同じことをしましたか？第2四半期：調査チームは、社内データがパブリッククラウドサーバーなどの外部記憶装置に保存されている事例を4件検出しました。メンバーは、自宅からアクセスできるようにするために行ったことを明らかにしました。仕事は時間内に終わらせる必要があった。IT部門は、これはルール違反であると断言した。同社は、このような事例に対する許容レベルを今後「ゼロ」にすることを警告し、スタッフを叱責した。

彼らは、IT部門にアクセス権を付与するよう要請し、会社の取締役会が決定を下すという選択肢を持っていたのです。質問です。これに対して、あなたはどのようにお考えですか？第3四半期：調査の結果、あるスタッフが個人的な事柄に関与していることが判明しました。これらの事件は、別の無関係な調査の過程で表面化した。経営陣は、そのような問題は調査チームの管轄外であると判断しました。しかし、これらの問題は人事部の知るところとなった。この問題に深く立ち入ることなく、人事部は、会社がこのような事例を容認しないことを明らかにしました。質問です。このケースをどう受け止めていますか？クォーター4：これは、ある高級幹部が関わったケースです。彼は、第3四半期に営業担当の重役と不倫して、組織を辞めました。彼女も会社を辞めました。二人とも新会社を設立しました。この会社はあなたの会社の直接の競争相手です。あなたは、この短い期間に、既存のビジネスの20％以上が新会社に移行していることを発見しました。

さらに2割が退場中。これは明らかに悪意のあるインサイダーの活動である。質問です。このようなシナリオの場合、あなたはどのような行動をとりますか？上記の4つのケースはすべて、データ盗難が起こる可能性があるものです。さらに調査を進めると、他のポイントも浮かび上がってくるかもしれません。ある種の共通項が浮かび上がってきます。そのような場合は、これらの活動をより深く調査する必要があります。そうでない場合は、以下のように対処してください。第1四半期：パスワードの機密性を維持することは、今日のシナリオでは非常に重要な側面です。この点に関して妥協は許されません。今後、より慎重になるようメンバーに助言してください。そのような従業員を監視することで、さらなる軽犯罪を避けることができます。四半期2: スタッフは、自宅で仕事を完了させるという善意を持っていたかもしれません。これは、彼らの仕事に対する献身的な姿勢を示すものです。しかし、会社には規則や規定があります。何が何でもこれらの規則に従わなければなりません。

このような行為を繰り返さないように、スタッフに忠告し、時間内に仕事を完了するように促してください。クォーター3：勤務時間中の私用は控えるべき。仕事場以外での私用は自由である。オフィス内で行われ、オフィスワークに影響がない限り、彼らのプライバシーを尊重すべきです。ただし、会社の規則として、このようなペアの配属は、結婚したら別々のオフィスにすべきです。クォーター4：悪質なインサイダー行為であることは明らかなので、毅然とした態度で対処すること。会社は、関係者に対して法的措置をとることも考えられる。悪意があるかどうかは、最初の段階で判断できるケースもあります。いくつか例を挙げてみましょう。

初期の兆候を探すことを学びましょう。契約書で支払い遅延のペナルティーを争っている会社は、定期的に支払いが滞る可能性があります。微妙なサインを見逃さないようにしましょう。特定のメンバーが電話や電子メールのメッセージを避けようとする場合、それは彼らがプロジェクトの一部になることを望んでいない明確なサインです。このような人たちを早めに排除することが、組織にとって良い結果をもたらします。

すべての意図が悪意あるものである必要はありません。組織に意図的な損害を与えることができる意図だけを悪意あるものと呼ぶべきです。また、組織への損失や損害は、状況的な意図や悪意のある意図による場合もあることを知っておく必要があります。私たちの目的は、悪意ある意図を抑制することだけにあります。悪意のある意図の芽を摘み取ることそのものが目的です。悪意ある意図は、今日職場で起こっているこれらすべての不正の主な原因です。