HOMEIPAについて新着情報IPAテクニカルウォッチ 『組織の内部不正防止への取り組み』に関するレポート

本文を印刷する

IPAについて

IPAテクニカルウォッチ 『組織の内部不正防止への取り組み』に関するレポート

2012年3月15日
独立行政法人情報処理推進機構

 IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、組織の内部者の不正を原因とする情報セキュリティインシデントが依然として発生していることを受け、国内外で実施されている内部不正防止に関する取り組み状況やIPAの今後の取り組みについて紹介する技術レポート(IPA テクニカルウォッチ 第6回)を公開しました。

概要

 組織の内部者の不正を原因とする情報セキュリティインシデントは依然として発生しており、看過することができない状況です。日本ネットワークセキュリティ協会(JNSA)が実施した2010年の情報セキュリティインシデントに関する調査(*1)によると、個人情報漏えいに関するインシデントのうち、内部者の不正によるものは、発生した件数は少ないですが、1件あたりの個人情報流出数が、第1位の不正アクセス(138,492人)に次いで多く(78,457人)、発生時の影響が多大となる傾向となっています。

 外部からの攻撃者と異なり、内部不正者は情報取り扱い権限の取得が容易であるため、技術的な対策には限度があります。内部不正を防ぐためには、内部不正者が不正行為を働く動機や、背景などの特徴を明らかにすることで、その対策を講じる必要があります。

 本レポートでは、内部不正防止に関するこれまでの国内外での取り組みを紹介します。米国のCERTプログラム(*2)では、2001年から政府機関や大学の支援を受け、内部者脅威(Insider Threat)についての研究を開始し、Insider Threat Centerを設置しています。現在では、内部者脅威に関する700の事例を分析し、組織的・人事的・技術的に内部不正を防止するための方策を提示しています。

 一方、国内におけるこの領域への取り組みは少ないですが、2010年には国内犯罪事例をもとにした調査報告が公表されています(*3)。しかしながら米国や国内のこれらの調査は、「悪意を持った」「犯罪」を対象としたものであり、企業のルール違反やうっかりミス、悪意を持たない者を対象とした調査は十分ではありません。

 IPAでは、これらの先駆的な取り組みを参考として、より企業の実態に近い環境における情報セキュリティインシデントを防止することを目的に、聞き取り調査を実施しました。聞き取り調査の結果、職員の置かれている環境や、組織に対する個人の意識などが、不正行為の発生に影響を与えている可能性が推測できました。IPAでは、今後詳細な調査を通して、内部者の不正を防止するための方策立案の取り組みを進めていきます。

レポートのダウンロード

テクニカルウォッチ概要のダウンロード

脚注

(*1) http://www.jnsa.org/result/incident/2010.html

(*2) CERTプログラム:米国カーネギーメロン大学、ソフトウェア工学研究所(SEI)に設置された、政府によって支援されている総合的なセキュリティ対策プログラム。セキュリティ被害について調整するCERT Coordination Center(CERT/CC)もプログラムのひとつ。

(*3) 財団法人 社会安全研究財団 「情報セキュリティにおける人的脅威対策に関する調査報告書」

本件に関するお問い合わせ先

IPA 技術本部 セキュリティセンター 小松/島
Tel: 03-5978-7530 Fax: 03-5978-7546 E-mail: 電話番号:03-5978-7530までお問い合わせください。

報道関係からのお問い合わせ先

IPA 戦略企画部 広報グループ 横山/大海
Tel: 03-5978-7503 Fax: 03-5978-7510 E-mail: 電話番号:03-5978-7503までお問い合わせください。