社内の脅威に対抗する従業員のプロファイリング：Column

社員の権限を使って情報を盗んだり、会社のITシステム破壊をもくろむ内部犯罪者を見つけ出し、排除するにはどうしたらいいだろうか。

[Joel Dubin，TechTarget]

　彼らは一見普通の従業員で、ほかのみんなと同様、黙々と仕事に励んでいるように見えるかもしれない。しかし実際は違う。社内の権限を使って社外秘データへのアクセスや窃盗、会社のITシステム破壊をもくろむ内部犯罪者なのだ。

　このような犯罪者から組織を守るには、どうしたらいいのか。どうすれば悪意を持ったインサイダーを見つけ出し、排除することができるのか。

　背信者のプロファイルを構築するのは1つの手段かもしれない。いったん特定すれば、ほかの従業員よりも注意深く調べることが可能になる。しかし、従業員のプロファイリングプログラムに着手する前に、問い掛けるべき点が3つある。内部犯罪者のプロファイルとは何か。怪しい人物を洗い出すことは合法あるいは適切なのか。プロファイリングのような騒ぎで危険を冒すことなく会社への攻撃を食い止められる、賢明な技術的解決策はないものか――例えばID・アクセス管理のように。

従業員プロファイリングモデル

　内部犯罪者のプロファイリングは実際に行われている。カーネギーメロン大学のCERT（コンピュータ緊急事態対策チーム）は2002年、内部の脅威に関する初の研究発表を行った。以後CERTでは、米財務省検察局と連携して毎年報告書の新版を発行してきた。この研究は、企業や組織内部に潜むコンピュータ犯罪者のプロファイリングの基盤となっている。

　CERTの研究報告では、詐欺、情報窃盗、破壊行為という3種類の内部犯行にスポットを当てている。研究によれば、典型的な内部犯罪者のプロファイリングは、それぞれの犯行によって異なる。詐欺行為は現役の従業員が行うことが多く、男性と女性の比率は半々、技術職や管理職以外の職種がほとんどを占める。一方、情報を盗み出すのは圧倒的に技術職の男性従業員が多い。

　最も見えにくいのは破壊行為だ。そのほとんどはやはり男性だが、既にシステムへのアクセス権を持っていない元従業員が大半を占める。多くは技術者で、高いスキルを持つ場合も多く、そのスキルを使い、盗んだユーザーアカウント情報か、離職または解雇される前に仕掛けておいた偽のログイン情報を使ってシステムに不正侵入する。こうした人物は、会社に対する恨みや個人的問題を抱えた従業員であることも多い。

　このプロファイルを考えると、不満を抱えた技術職の男性、あるいはいつかそうなりそうな人物は、すべて注意深く監視しなければならないのだろうか。そんなことはない。従業員プロファイリングを始める前に、従業員のプライバシーをつかさどる法律に何が違反し何が違反しないかについて、必ず社内の法務担当者か社外の弁護士に相談することだ。個人の性格を根拠とした従業員に関する差別的な記載があれば、プロファイリングのせいで会社が法的トラブルに巻き込まれる可能性もある。

予防的従業員プロファイリング