HOMEIPAについて新着情報プレス発表 「組織内部者の不正行為によるインシデント調査」報告書を公開

本文を印刷する

IPAについて

プレス発表 「組織内部者の不正行為によるインシデント調査」報告書を公開

2012年7月17日
独立行政法人情報処理推進機構

 IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、組織における内部不正の防止を推進していくために、内部不正の発生状況および誘導要因等に関する基礎的な調査として「組織内部者の不正行為によるインシデント調査」を実施し、その報告書を2012年7月17日(火)から、IPAのウェブサイトで公開しました。
URL:http://www.ipa.go.jp/security/fy23/reports/insider/index.html

 昨今、企業や組織では、情報漏洩やウイルス感染等の情報セキュリティインシデント(*1)が相次いでいます。その目的もこれまでの愉快犯的なものから経済的な利得へと移行しており、その被害もますます深刻化しています。情報セキュリティインシデントは、発生原因として、組織外部からの攻撃と組織内部の不正行為の大きく2つに分けることができます。海外の調査(*2)では、漏洩した全データ数のうち、外部からの攻撃による漏洩が95%を占めているのに対し、内部の不正行為による漏洩がわずか3%となっています。しかし、被害額に関する他の調査(*3)では、外部からの攻撃の方が大きいとする回答が38%であるのに対して、内部の不正行為の方が大きいとする回答が33%と同程度であることから、内部の不正行為は、発生すると大きな被害をもたらす、組織として看過できない課題であると言えます。しかし、国内外の調査では、内部犯罪を対象とした調査報告書等は存在していますが、犯罪につながるルール違反等を含む内部不正に関する調査が見られないことから、IPAは内部不正に関する実態を明らかにする調査を実施しました。

 本調査では、実際に内部不正調査に携わった関係者へのインタビュー調査(20件)と国内の判例調査(10件)を実施して内部不正の現状を把握し、これらの2つの調査を踏まえ、内部不正に関する意識調査を実施しました。意識調査では、内部不正の誘発要因や抑止・防止が期待できる対策に関して、一般企業の社員3,000名と経営者・管理者110名にアンケートを行い、以下のような結果が得られました。

(1) 対策に関する社員と経営者・管理者の意識のギャップ(別紙 表1)
 企業の経営者・システム管理者に対して、内部不正について「効果があると思う対策」を尋ねたところ、「重要情報は特定の職員のみアクセスできるようになっている」ことが1位、「情報システムの管理者以外に情報システムへのアクセス管理が操作できないようになっている」が2位となっており、アクセス管理による対策が重視されています。
 一方、社員向けアンケート結果のうち、「内部不正への気持ちが低下する対策」としては、「社内システムの操作の証拠が残る」ことが1位となっています。しかし、この項目は、前述した経営者およびシステム管理者に限定したアンケート結果での「現状講じている効果的と考える対策」においては、21項目中19位という結果でした。このように、有効と考える対策において管理される側の社員と管理する側の経営者・管理者の間で意識のギャップが見られ、経営者が講じる対策は社員への抑止力として必ずしも効果的に機能していない可能性があります。
 また、「社内システムにログインするためのIDやパスワードの管理を徹底する」は両者ともに上位に挙がっています。実際に、IDやパスワードの管理が甘いことで内部不正が発生していることがインタビュー調査から明らかになっており、徹底したIDやパスワードの管理は有効な対策であると言えます。

(2) 内部不正の気持ちを高める要因(別紙 表2)
 社員向けアンケートのうち、回答者に対して内部不正の気持ちを高めると考えられる41の項目から5つを選択させた質問の結果では、組織における待遇面の不満に関する項目が上位3つを占めていました。これはインタビュー調査において、内部不正行為動機として、「組織・上司に不満がある」ことが判明したことと同様の結果となりました。特に、1位の「不当だと思う解雇通告を受けた(34.2%)」は、2位の「給与や賞与に不満がある(23.2%)」、3位の「社内の人事評価に不満がある(22.7%)」と比較して、多くの回答者が選択しています。

(3) 内部不正防止に期待できる対策(別紙 表3)
 同様に、期待できる内部不正防止対策として考えられる20の項目から5つを選択した結果では、システムに操作記録が残るといった方法が上位2つを占めていました。特に、1位の「社内システムの操作の証拠が残る(54.2%)」は半数以上の回答者が選択しています。これは内部不正発覚後に追跡調査が可能な仕組みを設けておくと、防止効果が期待できると考えられます。

 インタビュー調査の結果から、「情報システムにおいて正規のアクセス権限を持つ内部者」が内部不正を行っているケースがあり、経営者・システム管理者が重視するアクセス管理による対策のみならず、(1)で記載した意識のギャップを踏まえ、(2)、(3)から判明した要因への配慮や対策をとることが必要と考えられます。
 よって、内部不正の対策として、技術面としては、デジタル・フォレンジック(*4)に対応して社員に不正の証拠が記録されていると通知すること、運用面としては、適切なアクセス権限を設定することがそれぞれ有効と思われます。また、組織内のソーシャル・キャピタル(社会関係資本)(*5)の向上も内部不正防止に重要な役割を果たすと考えられます。
 今後、IPAでは、2012年度中に経営者やシステム管理者を対象として、内部不正を防止する環境の整備に役立つ、「組織における内部不正防止ガイドライン」を作成し、公開する予定です。本ガイドラインの検討においても、本調査報告書を基礎的な情報として用いる予定です。

脚注

(*1) 悪意のある攻撃や、ウイルス感染、パソコンの盗難などの情報セキュリティの事件・事故

(*2) 米国Verizon社公表の2012 Data Breach Investigation reportから引用

(*3) 米国CERT(Computer Emergency Readiness Team)公表の2011 CyberSecurity Watch Surveyから引用

(*4) コンピュータやネットワークの不正使用やサービス妨害等の行為や、法的紛争・訴訟に対し、電磁的記録の証拠保全及び調査・分析を行うとともに、電磁的記録の改ざん・毀損等についての分析・情報収集等を行う一連の科学的調査手法・技術

(*5) 人々の信頼関係が深まることにより社会の効率性を向上させることができるという考え方

プレスリリースのダウンロード

本件に関するお問い合わせ先

IPA 技術本部 セキュリティセンター 小松/島

Tel: 03-5978-7530  Fax: 03-5978-7546  E-mail: 電話番号:03-5978-7530までお問い合わせください。

報道関係からのお問い合わせ先

IPA 戦略企画部 広報グループ 横山/佐々木

Tel: 03-5978-7503  Fax: 03-5978-7510  E-mail: 電話番号:03-5978-7503までお問い合わせください。