関係者の内部不正による
大規模な重要情報の漏洩事件が頻発。
リスクの管理、コントロールをするために
必要なステップや対策とは？

企業や組織内部の関係者が内部不正行為を行い情報セキュリティ上のインシデントになる事件が度々発生しています。個人情報はもとより、機密情報などの情報漏洩による賠償や信用失墜など、事業の根幹を揺るがしかねないような事件、事故が目立ってきています。内部不正の発表は、会社の信用に関わったり、風評被害が発生する恐れがあることなどから公表されないことが多くそれゆえ被害が拡大していくケースが後を絶ちません。

また、情報漏洩の原因は、内部不正によるものが8割であるといわれています。
内部不正によるものの中でも、意図的ではなく、「人的ミスや誤操作などによるルール違反や規定違反」で情報が漏洩してしまう場合や、初めから「個人情報を売買するなど職務で知りえた情報の目的外利用」などで意図的に情報を持ち出し、漏洩してしまう場合もあります。
いずれの内部不正の場合も、個人情報や機密情報を扱う関係者は、重要情報の扱いについての周知・教育で人的な対策を行う必要があり、それらに対してシステムで制御を行うなどの対策が必要です。

※ 出展元：独立行政法人情報処理推進機構技術本部セキュリティセンター「情報セキュリティ10大脅威2021」
6位「内部不正による情報漏洩」

近年の内部不正による情報漏洩事例

• ■競合会社への転職に際し営業秘密を持ち出し

  ---

  通信大手企業を退職した元社員が、退職申告から退職するまでの期間に営業秘密に該当する情報を不正に持ち出していたことが判明。
  また、元社員の転職先競合会社の業務用PC内に持ち出された営業秘密が保管されているとのことから、営業秘密の利用停止および廃棄等、ならびに約1,000億円の損額賠償請求権の一部として10億円の支払い等を求める民事訴訟を提起、審議が行われている。
  
  出展元：ソフトバンク株式会社プレスリリースより

• ■市役所職員による情報流出

  ---

  某市役所職員が業務に使用していたPCから同市の職員約2,700人分の個人情報を地元紙のメールアドレス宛に送信して漏洩させたことで懲戒免職となった。
  
  出展元：IPA「情報セキュリティ10大脅威 2021」解説書より

• ■社内評価を高めるため秘密情報の漏洩

  ---

  某企業の従業員が社内機密情報を自身のUSBメモリに保存、自宅PCから電子メールで中国企業に送信し漏洩。
  情報漏洩をした元従業員は、社内評価を高めるため、SNSを通じて接触した中国企業の従業員からの技術交換の提案に応じたという。だが、結果的に中国企業からの情報提供はなく、一方的に情報を吸い上げられる形になった。
  
  出展元：IPA「情報セキュリティ10大脅威 2021」解説書より

内部不正が起こる主な原因と対策

内部不正は、「不正のトライアングル」という「機会」「動機」「正当化」の 3つの要素が全て揃った時に発生すると言われています。これらの要因を低減させることが内部不正防止に有効です。組織が対策できるものは3要素のうち「動機」「機会」であり、ITシステムでの具体的な対策を情報処理推進機構（IPA）が呼びかけています。

ITシステムでの対策（情報処理推進機構（IPA）が呼び掛けている内部不正合祀対策）

• 重要な情報であることを明確にし、
  適切なアクセス権限を付与すること

  • 重要な情報であるか否かを明確にし、適切なアクセス制御を可能とすること。
  • 重要な情報に対するアクセス権限をもつ操作員を最小とすること。
  • アクセス権限は定期的に見直すこと。
    退職者、委託先操作員などアクセス権限保持者の異動時には速やかにそのIDとアクセス権は削除すること。

• 重要情報の持ち出し・可搬媒体等の
  持ち込みの監視

  • 情報機器や記録媒体の管理を厳格にすること。
  • ノートPCやUSBメモリ、スマートデバイスなどの可搬媒体の利用を制限し、
    持ち込み、持ち出しには管理者の承認が必要で、記録を取ること。

• 定期的な操作履歴の監視・監査

  • 内部不正の早期発見や事後対策として、重要情報へのアクセス履歴、利用者の操作履歴等のログを記録すること。
  • ログを定期的に監査し、異常な事象の発見に努めること。

内部不正対策の課題

個人情報、機密情報がクライアントPC上に散在。
重要な情報の所在の確認ができない。

USBメモリの利用制限だけではなく『スマートフォン』の利用も制限したい。

多種多様な操作ログをどのような観点で監視・監査すればよいかがわからない。