内部不正対策

関係者の内部不正による
大規模な重要情報の漏洩事件が頻発。
リスクの管理、コントロールをするために
必要なステップや対策とは？

企業や組織内部の関係者が内部不正行為を行い情報セキュリティ上のインシデントになる事件が度々発生しています。個人情報はもとより、機密情報などの情報漏洩による賠償や信用失墜など、事業の根幹を揺るがしかねないような事件、事故が目立ってきています。内部不正の発表は、会社の信用に関わったり、風評被害が発生する恐れがあることなどから公表されないことが多くそれゆえ被害が拡大していくケースが後を絶ちません。

また、情報漏洩の原因は、内部不正によるものが8割であるといわれています。
内部不正によるものの中でも、意図的ではなく、「人的ミスや誤操作などによるルール違反や規定違反」で情報が漏洩してしまう場合や、初めから「個人情報を売買するなど職務で知りえた情報の目的外利用」などで意図的に情報を持ち出し、漏洩してしまう場合もあります。
いずれの内部不正の場合も、個人情報や機密情報を扱う関係者は、重要情報の扱いについての周知・教育で人的な対策を行う必要があり、それらに対してシステムで制御を行うなどの対策が必要です。

※ 出展元：独立行政法人情報処理推進機構　技術本部セキュリティセンター『情報セキュリティ10大脅威 2016』
　 1位「標的型攻撃による情報流出」、2位「内部不正による情報漏えいとそれに伴う業務停止」、
　 3位「ウェブサービスからの個人情報の窃取」

内部不正対策に必要な製品

AssetView I（個人情報検索）

個人情報の棚卸しで情報漏洩リスクを把握。精度の高い個人情報検索が可能。
個人情報検索ソフト - AssetView I（個人情報検索）についてはこちら
AssetView G（デバイス制御）

社内のUSBデバイスを管理、制御。使用申請機能はネットワーク外からも申請可能。
デバイス制御で情報漏洩対策 - G（デバイス制御）についてはこちら
AssetView M（PC操作ログ管理）

PC操作ログを取得し効率的に把握、検索、追跡。不正操作はリアルタイムでユーザーへ警告。
ログ管理ソフト - M（PC操作ログ管理）についてはこちら

内部不正対策フロー

STEP 1個人情報、機密情報の棚卸をして重要情報の保管先を把握する

クライアントPC上にある個人情報、
機密情報を棚卸

クライアントPCに保存されているファイルの中身をチェックします。個人情報や機密情報に該当するファイルの保持状況をリスト化してリストをベースに、重要な情報が適切に管理されているかの確認をします。

個人情報、機密情報ファイル取得項目

対象のマシン
検出されたファイル数
ファイル名
個人情報/機密情報/特定個人情報の区分

ファイルパス
ファイルサイズ
ファイル作成日時
ファイル更新日時

STEP 2スマートフォンやUSBメモリの利用を制限、情報持ち出しリスクを最小化

デバイス制御

iPhone、Androidなどのスマートフォンの制御はもちろんのこと、CD / DVD / Blu-ray / FD / SDカード / USBデバイス等 / 共有フォルダ / ポータブルデバイス / MO 等の各種デバイスを制御します。重要データの持ち出しを制限したり、デバイス自体の使用を禁止することで内部不正を防ぎ、セキュリティ強化を図ります。

STEP 3個人情報、機密情報に関するPC操作ログ監視・監査体制を構築
膨大なログの中から問題となる操作の監査をかんたんに実現

PC操作ログの監視

クライアントPCに関するさまざまな操作ログを取得、監視します。取得の可否も細やかに設定することができ、ポリシーや運用環境に合わせた監視体制を構築することができます。

取得可能ログ一覧 >>

OTHERその他の内部不正対策

ファイル自動暗号化で持ち出しを防ぐ

さまざまなシーンでの自動暗号化に対応しているため、うっかりミスや、不正に持ち出そうとした場合の情報漏洩リスクを軽減することができます。

①個人情報・機密情報を検知したタイミングで自動暗号化
②USBデバイスへ、ファイルを書き出したタイミングで自動暗号化
③送信メールにファイルを添付したタイミングで自動暗号化
④クラウドストレージへファイルをアップロードしたタイミングで自動暗号化

メール送信などによる持ち出しを防く

メール本文の他にも、添付ファイルの実態も取得が可能なため、メール送信による情報の持ち出しリスクを軽減できます。

内部不正による情報漏洩事例

■2015年

自治体の元職員が、約68万人分の有権者の住所・氏名・生年月日などをインターネット上に流出させた内部不正事件がありました。元職員がこれらの情報を不正に持ち出し、それらの情報はインターネット上のレンタルサーバーにて、外部から閲覧することが可能な状態でした。
さらに持ち出した個人情報を悪用していたため、誤って持ち出されたのではなく、意図的に持ち出したとされています。
■2014年

委託先の職員が、子供や保護者の住所、氏名、電話番号、子供の性別や生年月日など、約2,895万件を不正に持ち出した内部不正事件がありました。職員は外部の業者から派遣されて、依頼先のデータベースシステム管理を担当し、業務上、顧客情報にアクセスする権限がありました。
それらの顧客情報をスマートフォンにコピーし、持ち出したことが原因とされています。
USBデバイスは利用の制御がされていたようですが、スマートフォンを介しての持ち出されてしまう可能性があるということは想定されていなかったかもしれません。
この事件の場合も、持ち出した顧客情報を名簿業者に転売していたことから、意図的に持ち出されたとされています。

これらの事件から、関係者が容易に個人情報を持ち出せてしまう職場環境は、情報漏洩のリスクが非常に高くなるということがいえます。また、内部不正により意図的に情報を持ち出されてしまうことを完全に防ぐのは難しいことでもあります。
しかし、重要な情報にアクセスできないようにしたり、情報を持ち出しくい環境をつくることは可能です。

内部不正が起こる主な原因と対策

内部不正は、「不正のトライアングル」という「機会」「動機」「正当化」の 3つの要素が全て揃った時に発生すると言われています。これらの要因を低減させることが内部不正防止に有効です。組織が対策できるものは3要素のうち「動機」「機会」であり、ITシステムでの具体的な対策を情報処理推進機構（IPA）が呼びかけています。

原因と対策

ITシステムでの対策（情報処理推進機構（IPA）が呼び掛けている内部不正合祀対策）

重要な情報であることを明確にし、
適切なアクセス権限を付与すること
- 重要な情報であるか否かを明確にし、適切なアクセス制御を可能とすること。
- 重要な情報に対するアクセス権限をもつ操作員を最小とすること。
- アクセス権限は定期的に見直すこと。
  退職者、委託先操作員などアクセス権限保持者の異動時には速やかにそのIDとアクセス権は削除すること。
重要情報の持ち出し・可搬媒体等の
持ち込みの監視
- 情報機器や記録媒体の管理を厳格にすること。
- ノートPCやUSBメモリ、スマートデバイスなどの可搬媒体の利用を制限し、
  持ち込み、持ち出しには管理者の承認が必要で、記録を取ること。
定期的な操作履歴の監視・監査
- 内部不正の早期発見や事後対策として、重要情報へのアクセス履歴、利用者の操作履歴等のログを記録すること。
- ログを定期的に監査し、異常な事象の発見に努めること。