組織の内部者の不正を原因とする情報セキュリティインシデントは依然として発生しており、看過することができない状況です。日本ネットワークセキュリティ協会（JNSA）が実施した2010年の情報セキュリティインシデントに関する調査^(*1)によると、個人情報漏えいに関するインシデントのうち、内部者の不正によるものは、発生した件数は少ないですが、1件あたりの個人情報流出数が、第1位の不正アクセス（138,492人）に次いで多く（78,457人）、発生時の影響が多大となる傾向となっています。

　外部からの攻撃者と異なり、内部不正者は情報取り扱い権限の取得が容易であるため、技術的な対策には限度があります。内部不正を防ぐためには、内部不正者が不正行為を働く動機や、背景などの特徴を明らかにすることで、その対策を講じる必要があります。

　本レポートでは、内部不正防止に関するこれまでの国内外での取り組みを紹介します。米国のCERTプログラム^(*2)では、2001年から政府機関や大学の支援を受け、内部者脅威（Insider Threat）についての研究を開始し、Insider Threat Centerを設置しています。現在では、内部者脅威に関する700の事例を分析し、組織的・人事的・技術的に内部不正を防止するための方策を提示しています。

　一方、国内におけるこの領域への取り組みは少ないですが、2010年には国内犯罪事例をもとにした調査報告が公表されています^(*3)。しかしながら米国や国内のこれらの調査は、「悪意を持った」「犯罪」を対象としたものであり、企業のルール違反やうっかりミス、悪意を持たない者を対象とした調査は十分ではありません。

　IPAでは、これらの先駆的な取り組みを参考として、より企業の実態に近い環境における情報セキュリティインシデントを防止することを目的に、聞き取り調査を実施しました。聞き取り調査の結果、職員の置かれている環境や、組織に対する個人の意識などが、不正行為の発生に影響を与えている可能性が推測できました。IPAでは、今後詳細な調査を通して、内部者の不正を防止するための方策立案の取り組みを進めていきます。

レポートのダウンロード

テクニカルウォッチ概要のダウンロード

脚注

本件に関するお問い合わせ先

報道関係からのお問い合わせ先