内部不正防止対策もやっていますか?
IPA(情報処理推進機構)が毎年発表する「情報セキュリティ10大脅威2023(組織編)」において、1~3位はランサムウエアや標的型攻撃など「外部」からの要因が占めていますが、4位には「内部不正による情報漏えい」がランクインしています。
実際、元従業員などによる情報の不正持ち出し(情報漏えい)がニュースになることもありますが、内部不正を防止するためには、どのように対策したらいいのでしょうか?
●内部不正は情報漏えいの要因のひとつ
個人情報や機密情報(営業秘密)などの重要な情報が外部に漏えいしてしまう要因には、大きく分けると次の3つがあります。
- マルウエア(ウイルス)などによる外部からの攻撃
- 端末等の操作ミスや設定ミス、端末や媒体の紛失、管理手順の不備などの人為的なミス
- 従業員や元従業員(委託先の従業員や元従業員含む)など、内部の者による不正行為
「1」については、一般的な情報セキュリティ対策として推奨される「OSやソフトのアップデート」「ウイルス対策ソフトの導入」「パスワードの安全管理」「不審なメール添付ファイルやサイトを開かない」等といった対策が、「2」については「社員教育の実施」「手順のマニュアル化」「技術的なミス防止機能やサービスの導入」等の対策が有効とされます。
一方で、内部不正については、外部からマルウエア等を使って情報を盗み取るわけでも、また、うっかりミスでもないため、一般的な情報セキュリティ対策だけでは防止しきれません。
●内部不正による情報漏えいの特徴とは?
過去に発生した内部不正による情報漏えい事例などから、内部不正に起因する情報漏えいには、次のような特徴があるとされます。
- 故意による情報漏えい(不正持出)のため、流出する情報の量が多く、損害が大きくなりやすい。
- 企業は不正行為の被害者であるものの、管理責任を問われるなど、加害者にもなり得る。また、社会的な信用失墜等経営上の深刻なダメージを受ける可能性がある。
- 内部不正は正規の手順で情報にアクセスされることが多く、外部からの攻撃に対するセキュリティ対策だけでは防止しにくい。また、正規の手順で情報が持ち出されるため、企業が内部不正に気付けない(発覚が遅れる)ことがある。
- 内部不正の行為者は、不正行為に及ぶ何らかの不満(動機)がある。
●性善説で企業の秘密情報=財産を守ることは難しい
転職や起業することが当たり前になり、前職で知り得た機密情報や個人情報(顧客情報)を次の就職先でも利用したい、という動機を持つ者が増加しています。また、内部不正の動機となり得る「会社への不満」を持っている者もいるかもしれません。
「うちの社員がそんなことをするわけがない」「委託先にそんなことをする社員はいない」といって、適切な対策を実施しないことは情報セキュリティ上のリスクとなります。
特に近年では、テレワークやDX等により、クラウド等社外に情報が保管され、社外からデータにアクセスして使用する機会が増加しており、上記のような理由から情報を不正に持ち出すことを考える者にとっては、不正行為を「やりやすい」環境になってきたとも言えます。
●内部不正防止のための対策とは?
IPAの「組織における内部不正防止ガイドライン(第5版)」によると、内部不正を防止するためには、次のような対策があるとされます。
参考:https://www.ipa.go.jp/security/guide/insider.html
| 基本的なポイント | 具体的な対策 |
|---|---|
| ①やりにくくする | アクセス権の管理(最小権限の原則、機密情報へのアクセス制限など) 権限は最小限の者のみに設定し、退職などで権限が不要になった場合は速やかに権限を停止しましょう。また、そのために情報資産を適切に管理することも重要です。 |
| ②割にあわなくする | 持出を困難にする(業務端末や記憶媒体持出・私物端末や私的な外部サービスの業務利用禁止ルールなど) 持出・持込の禁止や上長による許可制度、端末管理やネットワーク監視のためのツールの導入など、不正行為や禁止行為をやりにくい環境を構築することが大切です。 |
| ③やると見つかるようにする | ログの記録と定期的な確認(端末管理ツールによる操作ログ、サーバーアクセスログなどの取得とその確認の実施) 監視していることや、監視の結果を、定期的に社員に報告する=監視していることを社員に周知することも有効です。 |
| ④うっかりの発生や言い訳をさせなくする | ルール化と周知徹底(管理手順のルール化と定期的な見直しの実施、社員教育の実施など) 「知らなかった」と言わせないことも大切です。 |
| ⑤その気にさせない | 職場環境の整備(企業と従業員の信頼関係の維持・向上、就業規則等に違反した場合の罰則の規定等) 直接的なセキュリティ対策ではありませんが、企業(職場や取引先)に不満を持たない良好な人間関係や待遇改善などは内部不正対策として効果があるといわれます。 |
上記の①~④の対策は、内部不正だけでなく、人為的なミスによる情報漏えい対策(特に情報漏えいに繋がりやすい、機密情報の私物端末や記憶媒体、外部クラウドへの複製保管などの管理手順不備への対策)としても、効果が期待できます。
また、これらの内部不正対策は、自社だけでなく、同様の管理を委託先にも求め、定期的に確認することも大切になります。
なぜなら、内部不正は自社内だけで発生するとは限らないからです。
業務を委託している委託先で内部不正が発生した場合や、さらにその先の再々委託先で内部不正が発生した場合であっても、委託元(自社)が適切に委託先を管理できていない場合、管理責任が問われ、被害者であると同時に加害者となり得てしまいます。
例えば、委託元(自社)と委託先との間で「再委託の制限(または禁止)」についての条項を含む委託契約(機密情報保持契約)を締結し、業務委託中の情報の管理や業務完了後の情報の確実な破棄(消去)を適切に管理できるようにする、万が一情報漏えいが発生した場合の責任の所在を明確にしておく、また、契約に基づいて、実際に適切に情報が管理されているか確認する、などの対策を実施しておきましょう。
