【情報セキュリティ】内部不正の原因と3つの重要な対策方法とは?実際の事例も紹介!
お役立ち情報
2023.07.12
企業の運営において、情報流出やセキュリティ上のリスクは常に大きな課題です。
セキュリティリスクにおいて対策が重要なのは、外部からの攻撃だけでなく、内部不正も含みます。
内部不正は外部からの攻撃と違って表面化しにくい特性があり、企業の経営に深刻な影響を及ぼす可能性を孕んでいます。
本記事では、以下のような内部不正に関する疑問を解消していきます。
- そもそも内部不正とは?
- 内部不正の原因と対策
- 内部不正の実際に起こった事例
また、内部不正を対策するための具体的なツールを3つ紹介しますので、ぜひ参考にしてください。
アイクラフトでは、ITの専門家を実際に現場に派遣し、IT関連の困った事象を解決するフィールドサービスを展開しています。
内部不正の対策に困った際は、お気軽にお問い合わせください。
目次
そもそも内部不正とは?
まずはじめに内部不正について解説します。
内部不正は、社員や業務提携先など、企業内の関係者が意図的に、あるいはルールの理解不足から生じる誤りにより、重要な情報を外部へ漏らすことを指します。
内部不正の形態は多岐にわたりますが、本記事では、主に情報漏えいに的を絞って解説していきます。
内部不正は企業経営に大きな打撃を与える可能性があります。
たとえば、特許や専門的な技術情報が内部不正により競合他社の手に渡ると、競合との市場で優位性がなくなってしまいます。
さらに、内部不正による情報流出が明らかになった場合、会社の社会的な信頼が失われることになり、今後の経営に悪影響を及ぼすことも考えられます。
近年の内部不正の特徴
昨今の内部不正の特徴を紹介します。
IPA(情報処理推進機構)による「組織における内部不正防止ガイドライン」が2023年4月17日に更新されました。
今回の第5版では、テレワークを前提においたリスク対策の追記があり、「組織外部で使用するPCの対策強化」や「テレワークに伴う履歴等の取得」などが新たな対策としてあげられました。
働き方や、ITの変化に応じて対策方法も変化していく必要があります。
実際に起こった3つの内部不正の事例を紹介
続いて、IPAが発表している「情報セキュリティ10大脅威2020」より「内部不正による情報漏えい」と「不注意による情報漏えい」から3つ事例を抜粋して紹介します。
内部不正の事例①
■医療機関にて元従業員が、患者情報を不正に持ち出した事例
内容:医療機器の製造や販売を行っている企業にて、元従業員が患者の個人情報(患者氏名、施設名、検査データなど)885名分をUSBを使って個人のPCに移し替えていたことが社内調査により発覚した。
対応:個人情報に該当する患者に対し、説明と謝罪を行った。元従業員は、不正競争防止法違反の容疑で、書類送検された。
引用:IPA「情報セキュリティ10大脅威2020」
内部不正の事例②
■顧客の個人情報が保存されているPCを紛失した事例
内容:某飲食店勤務の従業員が、顧客情報が保存されているPCを帰宅途中に立ち寄った小売店舗に置き忘れ、紛失した。
同飲食店の予約をしていた顧客の個人情報6万件以上が保存されていた。
個人情報には、氏名、企業名、電話番号、Eメールアドレスなどが含まれていた。
対応:紛失が発覚後、遠隔でPCのログインパスワードを複雑化し、警察へ届け出を行った。
引用:IPA「情報セキュリティ10大脅威2020」
内部不正の事例③
■説明会の一斉メールを行う際に、ToとBccを間違えて送信した事例
内容:某説明会のリマインドメールを一斉送信する際に、Bccに入れるべき参加者のメールアドレスを、Toに入れてしまい、一斉送信を行った。
受信した参加者は、自分以外の他の参加者のメールアドレスが見られる状態になってしまった。(個人情報の流出)
対応:メールを送信してしまった説明会参加者全員へ謝罪を行い、誤送信のメールを削除する依頼をかけた。
引用:IPA「情報セキュリティ10大脅威2020」
内部不正が起こってしまう2つの原因とは?
ここからは、内部不正が起こってしまう原因を2つ紹介します。
原因① ”人”が原因となって起こる人的原因
原因② ”技術”が原因となって起こる技術的原因
原因① ”人”が原因となって起こる人的原因
内部不正の原因1つ目は”人”が原因となって起こる人的要因です。
人的要因には、故意に行う不正の他にヒューマンエラーなどのシステムの誤操作も含まれています。
故意に行われる内部不正に関しては、人の心理的な要素も大きく関係しており「動機」「機会」「正当化」の3つが揃うと不正を行いやすくなります。
以下は3つの要素の例です。
動機:多額の借金 不当な評価を受けた
機会:重要な情報を1人で管理している 監査など内部規制が確立されていない
正当化:「持ち出しても誰も困らないだろう」「不当な評価を受けたからやり返しても問題ない」という思考
対策として、3つの要素が揃わないようにする必要があります。
3つの要素が揃わないようにするための内部不正対策を次の章で解説しますので、確認してください。
原因② ”技術”が原因となって起こる技術的原因
原因の2つ目は技術的要因によって起こる内部不正です。
社内の重要な情報に、従業員誰でもアクセスできる状態だと、内部不正のリスクは高まります。
更にその情報に、業務委託者などもアクセスできるとしたら特定することも困難となります。
また、重要な情報に対して、ログなど記録されない状態であれば、誰がアクセスしたか追跡することもできないため、内部不正のリスクは高まります。
技術的なセキュリティ対策が出来ていない場合、内部不正の確立は高くなってしまいます。
内部不正を対策する3つの方法
ここからは、内部不正の対策方法を紹介します。
内部不正の対策は「自社にそんなことをする従業員はいない」「自社の従業員を疑いたくない」という感情が働くため、徹底できていない企業が多いのが現状です。
しかし、大切な従業員を守るためにも、以下の3つの対策をしておく必要があります。
- 監視の体制を強化する
- 不要な不正アクセスを予防する
- 社内環境と体制を改善し内部不正を抑制する
上記はIPAの「内部不正防止の基本5原則」に則った対策です。
公式のガイドラインもあわせて参考にしてください。
監視の体制を強化する
1つ目の対策は監視の体制を強化することです。
IPAのガイドライン「内部不正防止の基本5原則」にも記載がありますが、「内部不正をすると捕まるリスクが高まる」状態を作ることが大切です。
監視体制を作る際は、1人の担当者に任せてしまうとその従業員が内部不正をはたらいた際に発見が難しくなってしまうため、複数人に対応してもらうとよいでしょう。
また、相互監視の体制を構築し、監視の権限を分散させることも有効です。
人材不足等で、上記のようなひとり情シスの状態になってしまうのはリスクを高めてしまうため、信頼できる委託先に管理を依頼するのも対策の1つです。
アイクラフトでは、情シス業務を丸々お任せ頂ける、IT業務のアウトソーシングサービス「iSTAFF」を提供しています。
情シス担当者でお困りの際は一度ご相談ください。
iSTAFF詳細はこちら
不要なアクセスを予防する
内部不正の対策として、重要な情報や、業務に関係のない情報には、簡単にアクセスできないようにすることが有効です。
こちらもIPAのガイドラインに記載がありますが「犯行をやりにくくする」ことが内部不正の対策として重要です。
アクセス制御や、パスワードの設定、退職者のIDや情報削除など、基本的なセキュリティ対策は漏れなく実施しましょう。
アカウントの権限管理はiSTAFFでも実施しているサービスの1つです。
社内環境と体制を改善し内部不正を抑制する
3つ目の内部不正の対策は社内環境と体制の改善です。
IPAのガイドラインでは、そもそも「犯罪を行う気持ちにさせないことで犯行を抑止する」という記載があります。
先ほど説明した「人的原因」にもある通り、会社に対する不満や、ストレスが内部不正に繋がるケースも少なくありません。
公正な人事評価と、労務環境、円滑なコミュニケーションが内部不正を抑制します。
内部不正の対策におすすめのツール
続いて、内部不正を対策する際に役に立つツールを紹介します。
- SKYSEA Client View
- Lanscope
SKYSEA Client View
SKYSEA Client Viewは組織の大切なIT資産を守るための情報セキュリティ対策の強化と運用管理をサポートする機能に優れたツールです。
毎年お客様の声を取り入れたアップデートを行い進化し続けており、変わり続けるIT環境にも対応できる状態を高いレベルで保っています。
また、初めて管理業務を行う方にも使いやすい操作性が特徴で、目的別に整理された管理画面や、一目で全体を網羅できる点も多くの企業が取り入れている理由です。
アイクラフトでもおすすめしているツールですので、ご相談があればお問い合わせください。
SKYSEA Client Viewの詳細については、公式ページをご覧ください。
参考:Sky株式会社
Lanscope
Lanscope Catは、MOTEX株式会社が開発した情報漏えい対策やIT資産管理を行うツールです。
全国で10,000社以上の導入実績があり、2005年〜2020年までIT資産管理ツールシェアでNO1を獲得しています。
最大の強みとしては、自社にあるデバイス全てを管理できることです。
PCだけでなく、スマートフォンやタブレットも含め、HUBやプリンターなどの周辺機器も管理が可能です。
変わり続けるビジネスシーンを想定した柔軟な設計をしているため、様々なシーンに対応可能です。
また、外部脅威にも対応可能なため、セキュリティ対策として十分な性能を持っています。
アイクラフトでも、多くの導入支援の実績があります。
もし検討している企業があれば、ぜひお問い合わせください。
参考:Lanscope
まとめ
内部不正は人と技術的な要因で発生します。
対策を怠っている状態は常にリスクと隣り合わせになっていることを理解し、不足している対策はなるべく早く実施しましょう。
また、社内での人事評価やコミュニケーションは一見関係なさそうに感じますが、内部不正を未然に防ぐことを考えると最も大切な対策となります。
アイクラフトでは、技術的なセキュリティの点で企業の内部不正対策をサポートできます。
ぜひお困りの際はお問い合わせください。