コンプライアンス違反の事例から見えてくる監視や監査が行える基盤の必要性について
- INDEX
-
情報セキュリティに関するコンプライアンス違反の事例
はじめに情報セキュリティに関するコンプライアンス違反の事例について、下記URLのPDF資料の内部不正に関する事例(付録Ⅰ:内部不正事例集 P.66~P.69)を参考にご紹介します。 参考元および引用元URL:組織における 内部不正防止ガイドライン - IPA https://www.ipa.go.jp/security/event/2013/ist-expo/documents/preso11.pdf情報漏えいに関する事例
" 企業において、元従業員がインターネットから企業ネットワークへのリモートアクセス接続サービスを使って、機密情報を持ち出していた。 " 上記は退職および離職した人物が外部から社内ネットワークにアクセスし、不正に機密情報を持ち出したケースです。適切な監視によって検知・把握できていれば、すぐに発見できていたケースであると同時にネットワークへのアクセス権の設定が重要であることがわかる事例と言えます。 " 企業において、ある部門の社員(複数名)が新会社立上げを考え一斉に退職する際に、顧客情報(営業秘密)を新会社で利用する目的で持ち出した。 " 上記は同じく退職するタイミングで、顧客情報にアクセスできる人間がアクセスできる権限を悪用したケースです。企業や組織における情報資産を勝手に持ち出すというケースであり、ファイルへのアクセス権、ファイル操作の権限、ファイル操作ログの監視など情報資産管理ができていれば防げた事例と言えるでしょう。データ改ざんや悪用に関する事例
" 企業において、従業員が、顧客から Web の問い合わせフォームに入力された内容を、個人のアドレスにも送信するよう設定し、問い合わせ内容を不正に入手していた。 " 上記は問い合わせフォームを不正にデータ改ざんして、情報を不正に入手するというケースです。メールアドレスを追記する形でデータ改ざんを行うことで自動的に情報を収集しているケースであり、問い合わせフォームのファイルの変更が検知できていれば防げた事例であり、同時にネットワークの監視が徹底されていれば、不自然なトラフィックを把握できたかもしれない事例と言えます。 " 金融機関の ATM の保守管理業務を委託している企業の社員が、ATMの取引データから顧客のカード情報を不正に取得した。この情報から偽装キャッシュカードを作成・所持し、現金を引き出した。 " 上記は不正に取得した個人情報を悪用し偽装キャッシュカードを作成・所持したケースであり、非常に悪質です。顧客に直接的な被害が出るだけでなく、信頼を失うためです。この場合も適切な権限、ファイルへのアクセス権、アクセスログなど早い段階で検知、防止できてれば防げたケースでもあります。データの盗難・換金に関する事例
" 企業において、社員が機密情報の入った CD-ROM を持ち出し、機密情報を換金していた。この社員は、情報システムから機密情報を取り出す際に、部下に仕事の一環と説明して正規の手続きで機密情報の入ったCD-ROM を作らせて、隠蔽を図っていた。 " 上記は物理的な媒体であるCD-ROMに不正にコピーして盗難、換金していたケースです。パソコンのドライブの利用を物理的に廃止、もしくはシステム的に利用不可にしておけば防げたケースであり、同時にファイルのコピーも含めてPC操作ログを取得、監視できてれば問題を早く発見できたケースと言えます。 " 企業において、システム管理者が機密情報を繰り返し持ち出して換金していた。繰り返す度に機密情報の持ち出し行為がエスカレートしていった。 " 上記は繰り返し持ち出して換金していという悪質なケースであり、自分の立場や権限を悪用している最悪のパターンと言えます。情報システム部やセキュリティ担当においても自身を他人が監視している、監視してくれているという体制がないことで持続してしまったケースであり、監視による透明性の確保の大切さがわかるケースと言えるでしょう。
