HOME情報セキュリティ組織の内部関係者の不正行為による情報漏えいを防止するため、セキュリティ対策の見直しを!

本文を印刷する

情報セキュリティ

組織の内部関係者の不正行為による情報漏えいを防止するため、セキュリティ対策の見直しを!

掲載日:2014年7月10日
独立行政法人情報処理推進機構
(PDFはこちら)

組織の内部関係者の不正行為による情報漏えいを防止するため、
セキュリティ対策の見直しを!

 昨日、教育関係の企業において、大量の顧客情報の漏えいが起こったとの報道がありました。報道では、組織の内部情報にアクセスできる社員以外の内部者によって情報が持ち出された可能性があるとされています。
 これまでも従業員や委託先社員等の内部者の不正行為による情報窃取等の被害が数多く起こっており、IPAでは、内部不正防止ガイドラインを公表し、対策の呼びかけを行ってきました。内部不正による情報窃取の多くは金銭やビジネス利用等を目的としています。重要な情報を保持する企業・組織は、内部者による不正を防止するための対策の検討や点検を行うことを改めて呼びかけます。

(1)内部不正を防止するための現状把握と対策の検討

 IPAでは、内部不正による事故・事件の発生を防止するための環境整備に役立つよう、2013年3月に「組織における内部不正防止ガイドライン※1」(以下、ガイドライン)を策定し、公開しています。
 ガイドラインでは基本方針や技術的管理、人的管理、物理的管理など10の観点から30の対策項目を示しています(図1 参照)。

 ガイドラインを効果的に活用するには、最初にチェックシートで対策の現状を把握し、次に、その結果を基に必要な対策項目を検討します(図2、3参照)。具体的な実施策の検討には、各対策に必要な製品、ソリューションが紹介された、日本ネットワークセキュリティ協会(JNSA)の「内部不正対策ソリューションガイド※2」が参考になります。

経営者 情報
システム部
総務部 人事部 法務・
知財部
営業・開発等
の各部門
1.基本方針
2.資産管理
3.物理的管理
4.技術的管理
5.証拠確保
6.人的管理
7.コンプライアンス
8.職場環境
9.事後対策
10.組織の管理

図1:内部不正対策の10分類と関連部門

図2:内部不正防止ガイドラインによる対策検討の流れ

図3:内部不正チェックシート

(2)内部不正が発生する仕組み

 専門家によれば、不正行為は、「不正のトライアングル」という「動機・プレッシャー」、「機会」、「正当化」の3 つの要因※3が全て揃った時に発生すると言われています※4
 不正のトライアングルでは、3つの要因の低減が内部不正を防止するために有効としています。中でも能動的に組織が対策できるのは「動機・プレッシャー」と「機会」の低減です。

    ※3   不正のトライアングルを参考にした内部不正の3つの要因
    ・「動機・プレッシャー」:プレッシャー(業務量、ノルマ等)や処遇への不満など。内部不正行為に至るきっかけとなる。
    ・「機会」:技術(ITシステム・ネットワーク)や物理的な環境及び組織のルールなど、内部者による不正行為の実行を可能、または容易にする環境のこと。
    ・「正当化」:良心の呵責を乗り越える都合の良い解釈や他人への責任転嫁など、内部者が不正行為を自ら納得させるための自分勝手な理由付け。
    ※4   米国の組織犯罪研究者ドナルド・R・クレッシーによる

(3)内部不正防止の対策例

 特に重要な情報が保管されているファイルやデータベースについては、以下のような対策をとることで、情報漏えいリスクを低減する必要があります。これらの内容は、IPA「組織における内部不正防止ガイドライン」にわかりやすく記載されています。

①重要な情報であることを明確にし、適切なアクセス権限を付与すること

  • 重要な情報であるか否かを明確にし、適切なアクセス制御を可能とすること。
  • 重要な情報に対するアクセス権限をもつ操作員を最小とすること。
  • アクセス権限は定期的に見直すこと。退職者、委託先操作員などアクセス権限保持者の異動時には速やかにそのIDとアクセス権は削除すること。
②重要情報の持ち出し・可搬媒体等の持ち込みの監視
  • 情報機器や記録媒体の管理を厳格にすること。
  • ノートPCやUSBメモリ、スマートデバイスなどの可搬媒体の利用を制限し、持ち込み、持ち出しには管理者の承認が必要で、記録を取ること。
③定期的な操作履歴の監視・監査
  • 内部不正の早期発見や事後対策として、重要情報へのアクセス履歴、利用者の操作履歴等のログを記録すること。
  • ログを定期的に監査し、異常な事象の発見に努めること。

本件に関するお問い合わせ先

独立行政法人 情報処理推進機構 技術本部 セキュリティセンター 小松/益子
Tel: 03-5978-7530 Fax: 03-5978-7546
E-mail: 電話番号:03-5978-7530までお問い合わせください。

更新履歴

2014年7月10日 掲載

Adobe ReaderPDFファイルをご覧いただくためには、Adobe Reader(無償)が必要です。
Adobe ReaderはAdobe Readerのダウンロードページよりダウンロードできます。