関係者の内部不正による
大規模な重要情報の漏洩事件が頻発。
リスクの管理、コントロールをするために
必要なステップや対策とは?
企業や組織内部の関係者が内部不正行為を行い情報セキュリティ上のインシデントになる事件が度々発生しています。個人情報はもとより、機密情報などの情報漏洩による賠償や信用失墜など、事業の根幹を揺るがしかねないような事件、事故が目立ってきています。内部不正の発表は、会社の信用に関わったり、風評被害が発生する恐れがあることなどから公表されないことが多くそれゆえ被害が拡大していくケースが後を絶ちません。
また、情報漏洩の原因は、内部不正によるものが8割であるといわれています。
内部不正によるものの中でも、意図的ではなく、「人的ミスや誤操作などによるルール違反や規定違反」で情報が漏洩してしまう場合や、初めから「個人情報を売買するなど職務で知りえた情報の目的外利用」などで意図的に情報を持ち出し、漏洩してしまう場合もあります。
いずれの内部不正の場合も、個人情報や機密情報を扱う関係者は、重要情報の扱いについての周知・教育で人的な対策を行う必要があり、それらに対してシステムで制御を行うなどの対策が必要です。
※ 出展元:独立行政法人情報処理推進機構技術本部セキュリティセンター「情報セキュリティ10大脅威2021」
6位「内部不正による情報漏洩」
AssetView I(個人情報検索)
個人情報の棚卸しで情報漏洩リスクを把握。精度の高い個人情報検索が可能。
個人情報検索ソフト - AssetView I(個人情報検索)についてはこちらAssetView G(デバイス制御)
社内のUSBデバイスを管理、制御。使用申請機能はネットワーク外からも申請可能。
デバイス制御で情報漏洩対策 - G(デバイス制御)についてはこちらAssetView M(PC操作ログ管理)
PC操作ログを取得し効率的に把握、検索、追跡。不正操作はリアルタイムでユーザーへ警告。
ログ管理ソフト - M(PC操作ログ管理)についてはこちらクライアントPC上にある個人情報、
機密情報を棚卸
クライアントPCに保存されているファイルの中身をチェックします。個人情報や機密情報に該当するファイルの保持状況をリスト化してリストをベースに、重要な情報が適切に管理されているかの確認をします。
個人情報、機密情報ファイル取得項目
デバイス制御
iPhone、Androidなどのスマートフォンの制御はもちろんのこと、CD / DVD / Blu-ray / FD / SDカード / USBデバイス等 / 共有フォルダ / ポータブルデバイス / MO 等の各種デバイスを制御します。重要データの持ち出しを制限したり、デバイス自体の使用を禁止することで内部不正を防ぎ、セキュリティ強化を図ります。
PC操作ログの監視
ファイル自動暗号化で持ち出しを防ぐ
さまざまなシーンでの自動暗号化に対応しているため、うっかりミスや、不正に持ち出そうとした場合の情報漏洩リスクを軽減することができます。
①個人情報・機密情報を検知したタイミングで自動暗号化
②USBデバイスへ、ファイルを書き出したタイミングで自動暗号化
③送信メールにファイルを添付したタイミングで自動暗号化
④クラウドストレージへファイルをアップロードしたタイミングで自動暗号化
メール送信などによる持ち出しを防く
メール本文の他にも、添付ファイルの実態も取得が可能なため、メール送信による情報の持ち出しリスクを軽減できます。
通信大手企業を退職した元社員が、退職申告から退職するまでの期間に営業秘密に該当する情報を不正に持ち出していたことが判明。
また、元社員の転職先競合会社の業務用PC内に持ち出された営業秘密が保管されているとのことから、営業秘密の利用停止および廃棄等、ならびに約1,000億円の損額賠償請求権の一部として10億円の支払い等を求める民事訴訟を提起、審議が行われている。
出展元:ソフトバンク株式会社プレスリリースより
某市役所職員が業務に使用していたPCから同市の職員約2,700人分の個人情報を地元紙のメールアドレス宛に送信して漏洩させたことで懲戒免職となった。
出展元:IPA「情報セキュリティ10大脅威 2021」解説書より
某企業の従業員が社内機密情報を自身のUSBメモリに保存、自宅PCから電子メールで中国企業に送信し漏洩。
情報漏洩をした元従業員は、社内評価を高めるため、SNSを通じて接触した中国企業の従業員からの技術交換の提案に応じたという。だが、結果的に中国企業からの情報提供はなく、一方的に情報を吸い上げられる形になった。
出展元:IPA「情報セキュリティ10大脅威 2021」解説書より
内部不正は、「不正のトライアングル」という「機会」「動機」「正当化」の 3つの要素が全て揃った時に発生すると言われています。これらの要因を低減させることが内部不正防止に有効です。組織が対策できるものは3要素のうち「動機」「機会」であり、ITシステムでの具体的な対策を情報処理推進機構(IPA)が呼びかけています。
ITシステムでの対策(情報処理推進機構(IPA)が呼び掛けている内部不正合祀対策)
個人情報、機密情報がクライアントPC上に散在。
重要な情報の所在の確認ができない。
USBメモリの利用制限だけではなく『スマートフォン』の利用も制限したい。
多種多様な操作ログをどのような観点で監視・監査すればよいかがわからない。
ご不明点が解消されない場合は、
お問い合わせフォームより、お問い合わせください。
お電話でも受け付けております。
お気軽にお問い合わせください。
携帯電話からは03-5291-6121
携帯電話からは03-5291-6121
最短1分で問い合わせ完了! お問い合わせはこちら