はじめに

今回は、IPA(情報処理推進機構)が発表している「情報セキュリティ10大脅威 2024」において、ランサムウェアによる被害、サプライチェーンへの攻撃に続き、第3位にランクインした「内部不正による情報漏えい等の被害」を取り上げます。

「内部不正による情報漏えい」は、2016年以降で9年連続9回目の登場であり、昨年は第4位、一昨年は第5位と徐々に順位を上げています。また、「不注意による情報漏えい等の被害」も第6位につけており、うっかりミスによる被害もいまだ絶えず発生しています。このことは、少し前のデータではありますが、東京商工リサーチから出ている「2022年『上場企業の個人情報漏えい・紛失事故』調査」において、「誤表示・誤送信」と「紛失・誤廃棄」に分類されるものが、合計 41.2 % となっており、その発生が多いことが伺えます。

出典:
IPA「情報セキュリティ10大脅威2024」情報セキュリティ10大脅威 2024 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
東京商工リサーチ「2022年『上場企業の個人情報漏えい・紛失事故』調査 」 個人情報漏えい・紛失事故 2年連続最多を更新 件数は165件、流出・紛失情報は592万人分 ~ 2022年「上場企業の個人情報漏えい・紛失事故」調査 ~ | TSRデータインサイト | 東京商工リサーチ (tsr-net.co.jp)

内部不正が発生する要因

内部不正が発生する要因として、人的なものと技術的なものがあると言われます。

人的要因

故意による内部不正:42.0 %
“業務が忙しく、終わらせるために持ち出す必要があった” が 16.0 %、“処遇や待遇に不満があった” が 11.0 % など
故意が認められない内部不正:58.0 %
“うっかり違反した” が 40.5 %、“ルールを知らずに違反した” が 17.5 % の合計

となっており、従業員へルールが十分に周知されていなかったり、職場に対する不満から発生するケースが該当します。

技術的要因

ID管理やアクセス管理といった、不正を起こすことが技術的に不可能な状態にできていなかったことに起因します。本来は、権限を持たない従業員などが、重要な機密情報に容易にアクセスできるようなシステムになっていると、うっかりや故意に持ち出すことができてしまいます。

出典:「内部不正による情報セキュリティインシデント実態調査」報告書について | アーカイブ | IPA 独立行政法人 情報処理推進機構

内部不正への対策

人的要因への対策

従業員教育の実施
情報漏えいを防ぐための情報セキュリティポリシーを明確にし、従業員へ教育します。具体的には、情報セキュリティに関する勉強会などを行います。
それにより従業員が情報セキュリティに関する情報漏えいのリスクや防止方法を理解し、適切に対応できるようにします。
定期的なセキュリティ監査
外部の専門家による定期的なセキュリティ監査を実施し、セキュリティ対策の改善を行います。
組織文化の改善
技術的な対策だけではなく、組織文化の改善も必要とされています。内部不正を行った理由に、「処遇や待遇に不満があった」「持ち出した情報や機材で転職や起業を有利にしたかった」「企業・組織や上司などに恨みがあった」等の理由もあります。日頃から面談などを行い、これらの組織文化を改善することも大切です。

技術的要因への対策

デバイス制御
PCに対してUSBメモリ、CD/DVDドライブなどの外部デバイスの接続を制御することにより、機密データを情報漏えいから守ります。USB接続を制御するセキュリティソフトウェアの導入が有効です。
端末ごとにUSBデバイスの接続許可を行う、許可されたUSBのみ接続許可を行う、読み取りのみ許可を行う、接続されたUSBをログとして確認するなどの制御が可能となります。
ログオン時のセキュリティ強化
通常、PCやアプリケーションのへのログオン時の認証はID/パスワードによる本人確認のため、他人によるなりすましができてしまいます。ログオン時の認証を多要素認証に置き換えることにより、確実な本人確認を実施し、第三者がアカウントにアクセスするのを防ぐことができます。
アクセス権の適切な管理
内部不正経験者の多くはシステム管理者であるケースが多く、内部の様々なシステムに対し権限を有しているため、権限を最小化することや複数人に分散するといった対策も有効です。
監視
不正がすぐに発見できるように、監視を強化することが重要です。また、監視だけでなく、監視している旨を通知することが有効です。入退室記録の管理、端末の持ち出し記録の徹底、アクセスログの監視が具体策として挙げられます。

まとめ

内部不正によって、金銭のみならず、信用を失うことで、顧客や事業そのもの、従業員の損失に繋がります。不正を起こさせないためのシステム作り、企業風土づくりが重要となります。また、万が一、情報漏えいが発生してしまった場合でも、適切な対策を講じることで被害を最小限に抑えられます。IPAからは「組織における内部不正防止ガイドライン」がでており、これらを活用しながら、社内での対策を強化していくことが大切です。

出典:組織における内部不正防止ガイドライン | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

 

※記載の製品名は、各社の商標または登録商標です。