TOP
コラム
組織における内部不正防止ガイドラインとは？対応する際のポイントや具体的な対策について

組織における内部不正防止ガイドラインとは？対応する際のポイントや具体的な対策について

2021.10.20

INDEX

外部からのサイバー攻撃へのセキュリティ対策は行っているものの、内部不正に関しては怠ってしまうケースがあります。内部不正対策に不安を感じているのであれば、まずは「組織における内部不正防止ガイドライン」に対応、準拠するのがおすすめです。今回は組織における内部不正防止ガイドラインに関する基礎知識、組織における内部不正防止ガイドラインに対応や準拠する際のポイント、そして組織における内部不正防止ガイドラインに対応する際の具体的な対策についてお話します。

組織における内部不正防止ガイドラインに関する基礎知識

はじめに組織における内部不正防止ガイドラインに関する基礎知識について簡単に説明します。

組織における内部不正防止ガイドラインとは何か

組織における内部不正防止ガイドラインはIPA（独立行政法人情報処理推進機構）が設置した組織における内部不正防止ガイドライン検討委員会によって作成された文書です。組織における内部不正防止ガイドライン：IPA 独立行政法人情報処理推進機構 https://www.ipa.go.jp/security/event/2013/ist-expo/documents/preso11.pdf 詳細は上記URLより、公式のPDF資料を参照することをおすすめします。 IT技術の進歩によって、サイバー攻撃が多様化する中、社内や組織内において権限や立ち位置、役職を悪用することで内部不正も増加傾向にあります。そのため、外部からのサイバー攻撃とともに、内部不正への対策を行わなければ、結果的に重大なセキュリティインシデントを引き起こす可能性が高まってしまいます。日本においても内部不正は他人事ではなく、情報漏えいやデータ改ざん、データ隠蔽や証拠隠滅など、電子的に処理できるデータの取扱いを厳密かつ正確、そして安全に運用する必要があるということです。

内部不正防止や内部不正対策の必要性

内部不正防止や内部不正対策は後述する不要なリスク・被害から従業員および企業や組織を守るために必要であると言えます。内部不正は人為的かつ悪質な行為であるにも関わらず、内部の人間ということで信用されやすいことから、防ぎづらい犯罪でもあります。しかし、実際に内部不正を起こされてしまっては、企業や組織としても雇用した責任を問われますし、何よりも内部不正によってセキュリティインシデントが頻発するようなことはあってはなりません。従業員、もしくは何らかの役職および立場のある人間としても「技術的に監視されており、絶対にバレる」ことがわかっていれば、内部不正を行う可能性は低くなるものです。いわゆる抑止力として、実効性の高い対策としても、内部不正防止と内部不正対策に取り組む必要があるのです。

内部不正で起こり得る被害や内部不正の抱えるリスク

内部不正ではほとんどが情報資産に関する被害・リスクであり、情報漏えい、データ改ざん、データの隠蔽や削除、データの悪用など電子データが対象であると言えます。とはいえ、電子データを改ざんすれば、直接的に金銭を略取することもできますし、個人情報を悪用すれば、顧客等に直接的な被害が発生することも考えられることから、どれも無視できる被害・リスクではありません。中でも個人情報や機密情報に関するデータの情報漏えいは企業や組織としての信頼を失うだけでなく、将来的な利益や売上の損失、同時に既存の顧客やユーザーも失ってしまう可能性も高くなります。内部不正は組織的なものもありますが、個人が自身の利益のために犯罪に及んでしまうこともあるため、監視や管理の体制が整っていなければ、いつ起こってもすぐに検知できないという危険性があります。

組織における内部不正防止ガイドラインに対応や準拠する際のポイント

次に、組織における内部不正防止ガイドラインに対応や準拠する際のポイントをご紹介します。

組織における内部不正防止ガイドラインをしっかりと読み解いておく

内部不正防止、または内部不正対策をすべきと感じていただけたのであれば、まずはIPAの作成したガイドラインをしっかりと読み解いておきましょう。いわゆる「セキュリティはよくわからない」という形で終わらせるのではなく、セキュリティを理解することから始めるということです。内部不正においては「まさか、うちの会社ではそんなことはないだろう」という気持ちや考え方が最大の脆弱性になります。どのような企業および組織であっても、対策をしておかなければ内部不正が発生するということを留意しておくと良いでしょう。

従業員を疑うためではなく、守るためにあることを前提に前向きに取り組む

内部不正防止や内部不正対策は従業員を疑うため、もしくは罰するために行うものではありません。物理的な警備で例えるなら、企業や組織として盗まれては困る財産を守るため、そして従業員を直接的な被害から守るためにあると言えます。言い換えれば「うちの会社は社員を信用しているから」と内部不正対策を行わないのは、逆に社員を守ろうとしていないのと同じということです。鍵を開けっ放しにしたまま悪意のある人物に好きなようにさせてしまうような状況は、企業や組織として健全ではないと理解すべきです。同時に内部不正対策がしっかりと行われて入れば、透明性が確保され、うっかりミスやヒューマンエラーなど、故意ではないセキュリティインシデントの防止にもつながります。

サイバー攻撃・内部不正・情報漏えいなど、個別に対策しないこと

ガイドラインに対応、準拠する際、内部不正防止だけに注力しないこと、サイバー攻撃や情報漏えいなど個別に対策するのではなく、情報資産やIT資産といった統合的な対策を行うことを意識すべきです。もちろん、システムや仕組み的に個別の対策が必要なものもありますが、基本的には情報システム部やセキュリティ担当が一元管理できるような体制、仕組み、システムを導入することをおすすめします。

もっと知りたい！ "お役立ち情報" はコチラ >>

組織における内部不正防止ガイドラインに対応する際の具体的な対策について

次に組織における内部不正防止ガイドラインに対応する際の具体的な対策について解説します。

外部からのサイバー攻撃と内部不正などを統合的にセキュリティ体制を整える

組織における内部不正防止ガイドラインでは、責任者を配置し、実質的に対応する人材の配置が求められています。権限やアクセス権、そして物理的な管理と技術的な管理・運用など、セキュリティ基盤があることが前提、その上でセキュリティ体制を整えることが必須と言えます。もし、現時点において「ウイルス対策ソフトはインストールしているが」というような状況であれば、統合的にセキュリティ管理が可能なシステムの導入を検討しておくと良いでしょう。

IT資産管理や情報資産管理の概念や考え方も早い段階で導入しておくべき

IT資産管理とは物理的なデバイスを適切に管理する仕組みを指します。情報資産管理とは、電子データを適切かつ安全に利用し、管理する仕組みを指します。どちらもセキュリティ体制の基盤に必須の考え方、仕組みですので早い段階から導入しておきましょう。むしろ、IT資産＝デバイスの管理ができていなければ情報資産は守りきれませんし、情報資産への権限・アクセス権の管理ができなければ、デバイスの安全性だけでは、やはり守りきれません。どちらも並行して安心・安全な管理ができるようにしておくこと、そして情報システム部やセキュリティ担当が適切に監視・管理できる仕組みを備えておくことが重要と言えます。

システム的に透明性を高めるためにも監視を含めた管理を徹底しよう

内部不正対策と同様に「監視」というキーワードは非常に強い言葉です。ただし、システム的な監視は透明性を確保するために重要な役割を持っており、むしろ監視されていないことの方が危険性が高いです。監視がされている状況であれば、外部からのサイバー攻撃なのか、それとも内部不正なのか、もしくはうっかりミスやヒューマンエラーなのか区別ができる可能性が高まります。また、早い段階で検知や把握することができれば、被害を最小限にすることもできますし、被害そのものを発生させないことも可能になります。 PC操作ログ、メールの送受信履歴、メールの添付ファイル、Webサイトの閲覧履歴など、各種ログの監視を行うことで、透明性が確保され、いつ・誰が・何を・どのようにしていかた把握できることが、従業員を守るため、企業や組織を存続させるためにも必要であると理解しておきましょう。

まとめ：内部不正対策そのものがセキュリティ全般を高めることを知っておこう！

今回は組織における内部不正防止ガイドラインに関する基礎知識、組織における内部不正防止ガイドラインに対応や準拠する際のポイント、そして組織における内部不正防止ガイドラインに対応する際の具体的な対策についてお話しました。内部不正対策においては、各種ログの監視など、透明性を確保するとともに、社内や組織内の状況や情報を収集できるという利点があります。そのため、内部不正対策そのものがセキュリティ全般の強化につながります。当社が提供するIT資産管理ツール・情報資産管理ソフト「AssetView」シリーズを組み合わせることで、統合的なセキュリティ管理が可能になります。もちろん、監視も含めて透明性の高いセキュリティ基盤の構築もできますので、ぜひともこの機会にご相談、お問い合わせください。

もっと知りたい！ "お役立ち情報" はコチラ >>