English
アーカイブ
「内部不正による情報セキュリティインシデント実態調査」報告書について
公開日:2016年3月3日
アーカイブ掲載日:2023年12月15日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター
近年、組織内部から漏えいした情報により引き起こされるインシデントに関する報道が相次いでいます。例えば内部不正(脚注1)はその被害額が外部からの攻撃によるものよりも高額な傾向があり(脚注2)、組織は内部不正を未然に防ぐ必要に迫られています。しかしながら、内部不正は、職務上与えられた権限を使い行われるため、その対策は容易ではありません。
IPAでは、2012年に内部不正についてその動機や抑止・防止策を明らかにするために意識調査を実施(脚注3)しました。2回目となる今回は、民間企業の従業員と内部不正を行った経験を有する者(以下、内部不正経験者)にアンケートを実施し、より実態を掘り下げる調査を目指しました。調査結果のポイントおよび調査概要は以下のとおりです。
図表データはプレスリリースの別紙もしくは調査報告書をご参照ください。
-
脚注1本調査では、IPAが公開している「組織における内部不正防止ガイドライン」の定義に従い、違法行為だけでなく、情報セキュリティに関する内部規程違反等の違法とまではいえない内部不正行為も含めている。
-
脚注2Ponemon Institute, LLCの「2015 Cost of Cyber Crime Study : Global」(提供:HP Enterprise)によると、9種のサイバー攻撃による年間平均被害額は、内部不正が約14.4万ドルと最も高かった
-
脚注32012年7月17日発表 「組織内部者の不正行為によるインシデント調査」報告書の公開
調査結果のポイント
- 内部不正の理由の約6割は故意が認められない“うっかり”(別紙2)
- 内部不正経験者に行為の理由を聞いたところ、“うっかり違反した”が40.5%、“ルールを知らずに違反した”が17.5%(合計58.0%)と、全体の約6割は“うっかり”によるもので、故意が認められませんでした。うっかりミス等を防ぐため、管理者は扱う情報に格付けする等のルールや規則を明確にし、周知徹底することが対策として有効です。
その一方、42.0%は故意によるもので、その理由は“業務が忙しく、終わらせるために持ち出す必要があった”が16.0%、“処遇や待遇に不満があった”が11.0%などでした。
(調査報告書p.16参照)
- 内部不正経験者に行為の理由を聞いたところ、“うっかり違反した”が40.5%、“ルールを知らずに違反した”が17.5%(合計58.0%)と、全体の約6割は“うっかり”によるもので、故意が認められませんでした。うっかりミス等を防ぐため、管理者は扱う情報に格付けする等のルールや規則を明確にし、周知徹底することが対策として有効です。
- 主たる情報の持ち出し手段は“USBメモリ”
- 情報の持ち出しには“USBメモリ”の利用が最多でした。組織での対策はUSBメモリ等の外部記録媒体に関する利用ルールの徹底、および利用制限が有効と考えられます(別紙3)。しかしその対策状況をみると、従業員規模が300名未満の企業の過半数で“方針やルールはない”と回答しています(別紙4)。
(調査報告書P.19、22、24参照)
- 情報の持ち出しには“USBメモリ”の利用が最多でした。組織での対策はUSBメモリ等の外部記録媒体に関する利用ルールの徹底、および利用制限が有効と考えられます(別紙3)。しかしその対策状況をみると、従業員規模が300名未満の企業の過半数で“方針やルールはない”と回答しています(別紙4)。
- 経営者等が重要視していない対策が内部不正行為の抑止に有効
- 内部不正経験者と経営者・システム管理者とで、有効と考える内部不正対策の違いが顕著だったのは“罰則規定を強化する”、“監視体制を強化する”ことでした。(別紙5)。 なお、監視強化についての意識の差は前回調査でも同様の傾向(脚注4)が示されています。不正行為抑止のためには、監視だけでなく、監視している旨を通知することが有効です。
経営者・システム管理者は、不正行為を思い留まらせるのに有効な対策を的確に把握し、実施する必要があります。
(調査報告書P.42参照)
- 内部不正経験者と経営者・システム管理者とで、有効と考える内部不正対策の違いが顕著だったのは“罰則規定を強化する”、“監視体制を強化する”ことでした。(別紙5)。 なお、監視強化についての意識の差は前回調査でも同様の傾向(脚注4)が示されています。不正行為抑止のためには、監視だけでなく、監視している旨を通知することが有効です。
- 内部不正経験者の約5割がシステム管理者(兼務を含む)
- 内部不正経験者の職務を尋ねたところ、51.0%がシステム管理者(兼務を含む)でした(別紙6)。システム管理者は社内システムに精通し、高いアクセス権限(特権)を有することが多いため、権限の最小化・分散、および作業監視等の対策が有効です。
(調査報告書P.14参照)
- 内部不正経験者の職務を尋ねたところ、51.0%がシステム管理者(兼務を含む)でした(別紙6)。システム管理者は社内システムに精通し、高いアクセス権限(特権)を有することが多いため、権限の最小化・分散、および作業監視等の対策が有効です。
-
脚注4従業員の「内部不正への気持ちが低下する対策」の1位「社内システムの操作の証拠が残る」に対して、経営者・システム管理者の「現在講じている効果があると考える対策」においては、21項目中19位という結果であった。
プレスリリース
調査報告書
報告書 目次
「内部不正による情報セキュリティインシデント実態調査」報告書
- はじめに
- 1.1 背景・目的
- 1.2 調査概要
- 文献調査
- 2.1 内部不正による情報セキュリティインシデントに関する概況
- 2.2 環境犯罪学に関連する理論の整理
- 2.3 本調査における定義と分類
- アンケート調査
- 3.1 アンケート調査概要
- 3.2 アンケート調査結果
- インタビュー調査
- 4.1 インタビュー調査概要
- 4.2 インタビュー調査で収集した事例
- 4.3 インタビュー調査で得られた内部不正対策の検討状況等
- 4.4 法的対策に関するインタビュー調査
- 判例調査
- 5.1 判例収集
- 5.2 判例調査で得られた傾向
- 5.3 判例調査で得られた事例
- まとめ
- 6.1 考察1(内部不正の発生状況より)
- 6.2 考察2(内部不正対策の実施状況より)
- 6.3 考察3(判例調査・インタビュー調査より)
- 付録
- 付録1:事例集(インタビュー調査)
- 付録2:アンケート調査票
- 付録3:職場環境・企業風土等に関するアンケート調査結果
実施者
- みずほ情報総研株式会社
更新履歴
-
2016年3月3日
公開