金融業界の企業でセキュリティ部門の責任者を務める当社クライアントが、Kickidlerの従業員監視ソフトウェアと、その他の情報セキュリティ向け技術的手段を用いて、組織内の内部不正者を発見した実例を共有してくれました。
クライアントの要望により、回答者名を含む一部の名称は変更しています。ただし、出来事の流れそのものは変更していません。
Kickidler:チーム内に内部不正者がいると、どのように気づいたのですか?
Michael:顧客向け販売の管理部門から、いくつかの兆候が上がり始めました。9月頃から、当社製品の利用継続率が急激に低下したのです。もちろん、私たちは顧客に連絡し、誰が「より良い提案」をしたのかを確認しようとしました。しかし奇妙なことに、ほとんどのケースで利益を得ている相手が異なっていました。つまり、社内にいる「敵側のスパイ」という仮説は成り立たなかったのです。
Kickidler:では、なぜ内部不正だと判断したのでしょうか?売上低下にはさまざまな要因が考えられます。
Michael:ある顧客が、複数の組織から同時に電話を受けたと教えてくれました。そこで、私たちは別の可能性を考えました。マーケティング部門と協力し、当社の事業分野における顧客データベース販売のオファーを探すため、さまざまなインターネットリソースを監視しました。いくつかの情報源が見つかり、いわゆる「ダークネット」でテスト購入を行ったところ、当社のものと同一と思われるデータベースが入手できました。
Kickidler:その時点で、すでにKickidlerを使用していましたか?
Michael:いいえ、その時点ではまだ使用していませんでした。当社には、ファイルに関するすべての操作を管理するDLPソフトウェアを導入していましたし、現在も使用しています。企業データへのアクセスは、経営層であってもデスクトップからのみ可能です。もし誰かが顧客データベースをダウンロードしたり、メールで送信したり、クラウドにアップロードしたり、メッセンジャーで送ったり、あるいは印刷してスキャンしたりしていたなら、加害者が「かなり腕の立つハッカー」でない限り、99%の確率でその漏えいを検知できたはずです。先ほどの出来事を受け、DLPに加えてEMS(注:従業員監視ソフトウェア)を導入し、ユーザーが各自のPC上で行うすべての操作を記録できるようにすることを決めました。
Kickidler:すぐに当社のソフトウェアを選んだのですか?
Michael:大まかに言えば、はい。当社の主要な要件を満たしていました。CRMにアクセスできる全員の画面を配信できること、そして先ほど述べたとおり、ユーザーのPC上でのすべての操作を記録できることが必要でした。これらの要件については、類似ソフトウェアよりも御社の製品のほうが優れていました。
Kickidler:では、従業員監視ソフトウェアはどのようにして不正行為者の発見に役立ったのでしょうか?
Michael:前回顧客データベースを購入したリソースを、私たちは継続的に確認していました。ある日、そこで更新情報が表示されました。もう一度テスト購入を行ったところ、その更新は文字どおり1日前のものであることが分かりました。つまり、およそ2営業日以内に、もう一度窃取が行われたということです。そこでKickidlerを使い、CRMにログインしたユーザーの行動を監視し、Webサイト上での従業員の活動を分析し始めました。Kickidlerではフィルターを使用し、特定のWebサイトやプログラムに対するユーザーの操作履歴をすべて確認できます。最終的に、それが決め手になりました。
Kickidler:ファイル操作として記録されていなかったにもかかわらず、不正行為者はどのように顧客データベースを盗んだのでしょうか?発見にはかなり手間がかかりましたか?
Michael:私たちはすぐに、データベースがCRMから直接エクスポートされたわけではないと理解しました。というのも、購入したデータベースの形式が、CRMから取得できる形式とは異なっていたからです。残る可能性は一つでした。誰かが撮影機器を使って、PCの画面に表示されたデータベースのページを直接撮影し、その後、手作業またはOCR(光学文字認識)サービスを使ってテキスト形式に変換したというものです。
この調査は大変な作業でしたが、ある方法でかなり簡略化できました。当社では、約150人がそのデータベースにアクセスできます。そのうち30人はフルアクセス権限を持っています。これらの人物の誰かがデータベースを漏えいさせた可能性もあれば、フルアクセス権限を持つ従業員のPCに誰かがアクセスした可能性もありました。
いずれにせよ、ポイントはこうです。通常、従業員はCRMでタスクリストを使用し、さらに顧客カードにログインします。しかし不正行為者が計画を実行するには、少なくとも10ページを開いて撮影する必要がありました。この観察に基づき、私たちはKickidlerでWebアドレスの違反ルール、具体的にはCRMデータベースの10ページ目に関する違反を作成し、そのページを訪問したすべての人物を確認しました。
その後、このページでKickidlerの録画機能によって記録されたユーザー操作の動画を確認し、複数の従業員に疑わしい行動があることを特定しました。疑わしい行動が発生した時刻を記録し、その時間帯の監視カメラ映像を確認しました。そこで運よく決定的な証拠が見つかりました。あるマネージャーが昼休み中、オフィスに誰もいないタイミングで、自分のスマートフォンを使ってPC画面を撮影していたのです。実際のところ、その従業員については以前から疑っている人も多くいました。
Kickidler:その後、彼はどうなりましたか?
Michael:そのような情報は開示できません。ただ、彼はもう当社では働いていない、ということだけはお伝えできます。もちろん、彼がもたらした損害を取り消すことはできません。しかし少なくとも、将来さらに大きな悪事を働く可能性のあった妨害者を排除することはできました。
この記事はいかがでしたか?ぜひ当社のSNSをフォローしてください。
Contents
Share this post