東急不動産ホールディングス株式会社

概要

クラウド利用と働き方の多様化が進む中、情報漏えいリスクは外部攻撃だけではありません。誤送信や取り扱いミスといった“意図しない事故”から、権限の濫用や不適切な持ち出しといった“意図的な行為”まで、内部脅威は発生要因が幅広く、対策も単一では完結しません。
東急不動産ホールディングスは、事業運営を止めないことを前提に、内部脅威対策を「現場で回る仕組み」として設計し、運用へ落とし込んでいきました。本資料では、その背景、検討の観点、推進のポイントを紹介します。

課題

ルール強化だけでは守れない。「例外だらけの現場」に合わせた統制が必要だった

内部脅威対策は、ポリシー整備や注意喚起だけでは限界があります。業務上、ファイル共有・外部送付・委託先との連携などが日常的に発生し、強い制限をかけすぎると生産性を損ね、形骸化や抜け道につながります。
一方で、守るべき情報がどこにあり、誰がどう扱っているのかが見えなければ、リスクの優先順位付けも、実効性ある対策も難しくなります。
東急不動産ホールディングスが向き合ったのは、現場の業務実態と整合する形で、データの扱いを“可視化し、コントロールできる状態”を作ることでした。

ソリューション

“ユーザー×データ×行動”を軸に、可視化と制御を連動させる

同社は内部脅威を「特定の人物を疑う」発想ではなく、行動の兆候を把握し、事故と不正の両面に備える設計として整理しました。
Proofpointを活用し、データの流れや利用状況を把握できる状態を整えた上で、過剰な一律制限ではなく、リスクに応じた制御・運用判断ができるように設計していきます。さらに、インシデント対応の観点でも、セキュリティ部門が状況を素早く把握し、現場と連携して対処できる流れを意識して整備を進めます。

※本資料では、内部脅威対策を進めるにあたり「何を見える化し」「どんな観点で優先順位を付け」「運用に落とし込んだのか」を紹介しています（具体的な検知・制御の設計、運用手順、判断基準はダウンロード後にご確認いただけます）。

成果

取り締まりではなく、継続的に改善できる“守れる運用”へ

取り組みにより、東急不動産ホールディングスは、内部要因によるリスクに対して、実態に即した可視化と統制の考え方を整理し、継続的な運用を前提とした対策を前進させました。
また、事故を減らすだけでなく、兆候把握から対応までの流れを整えることで、「起きてから対応する」から「起きにくくする／早期に気づく」方向へ取り組みを進められる基盤を構築しています。