内部不正対策

企業や組織内部の関係者が内部不正行為を行い情報セキュリティ上のインシデントになる事件が度々発生しています。個人情報はもとより、機密情報などの情報漏洩による賠償や信用失墜など、事業の根幹を揺るがしかねないような事件、事故が目立ってきています。内部不正の発表は、会社の信用に関わったり、風評被害が発生する恐れがあることなどから公表されないことが多くそれゆえ被害が拡大していくケースが後を絶ちません。

また、情報漏洩の原因は、内部不正によるものが8割であるといわれています。
内部不正によるものの中でも、意図的ではなく、「人的ミスや誤操作などによるルール違反や規定違反」で情報が漏洩してしまう場合や、初めから「個人情報を売買するなど職務で知りえた情報の目的外利用」などで意図的に情報を持ち出し、漏洩してしまう場合もあります。
いずれの内部不正の場合も、個人情報や機密情報を扱う関係者は、重要情報の扱いについての周知・教育で人的な対策を行う必要があり、それらに対してシステムで制御を行うなどの対策が必要です。

■2015年
自治体の元職員が、約68万人分の有権者の住所・氏名・生年月日などをインターネット上に流出させた内部不正事件がありました。元職員がこれらの情報を不正に持ち出し、それらの情報はインターネット上のレンタルサーバーにて、外部から閲覧することが可能な状態でした。
さらに持ち出した個人情報を悪用していたため、誤って持ち出されたのではなく、意図的に持ち出したとされています。

■2014年
委託先の職員が、子供や保護者の住所、氏名、電話番号、子供の性別や生年月日など、約2,895万件を不正に持ち出した内部不正事件がありました。職員は外部の業者から派遣されて、依頼先のデータベースシステム管理を担当し、業務上、顧客情報にアクセスする権限がありました。
それらの顧客情報をスマートフォンにコピーし、持ち出したことが原因とされています。
USBデバイスは利用の制御がされていたようですが、スマートフォンを介しての持ち出されてしまう可能性があるということは想定されていなかったかもしれません。
この事件の場合も、持ち出した顧客情報を名簿業者に転売していたことから、意図的に持ち出されたとされています。

これらの事件から、関係者が容易に個人情報を持ち出せてしまう職場環境は、情報漏洩のリスクが非常に高くなるということがいえます。また、内部不正により意図的に情報を持ち出されてしまうことを完全に防ぐのは難しいことでもあります。
しかし、重要な情報にアクセスできないようにしたり、情報を持ち出しくい環境をつくることは可能です。

内部不正は、「不正のトライアングル」という「機会」「動機」「正当化」の 3つの要素が全て揃った時に発生すると言われています。これらの要因を低減させることが内部不正防止に有効です。組織が対策できるものは3要素のうち「動機」「機会」であり、ITシステムでの具体的な対策を情報処理推進機構（IPA）が呼びかけています。

●ITシステムでの対策（情報処理推進機構（IPA）が呼び掛けている内部不正合祀対策）

①重要な情報であることを明確にし、適切なアクセス権限を付与すること

• 重要な情報であるか否かを明確にし、適切なアクセス制御を可能とすること。
• 重要な情報に対するアクセス権限をもつ操作員を最小とすること。
• アクセス権限は定期的に見直すこと。退職者、委託先操作員などアクセス権限保持者の異動時には速やかにそのIDとアクセス権は削除すること。

②重要情報の持ち出し・可搬媒体等の持ち込みの監視

• 情報機器や記録媒体の管理を厳格にすること。
• ノートPCやUSBメモリ、スマートデバイスなどの可搬媒体の利用を制限し、持ち込み、持ち出しには管理者の承認が必要で、記録を取ること。

③定期的な操作履歴の監視・監査

• 内部不正の早期発見や事後対策として、重要情報へのアクセス履歴、利用者の操作履歴等のログを記録すること。
• ログを定期的に監査し、異常な事象の発見に努めること。

ステップ1　個人情報、機密情報の棚卸をして重要情報の保管先を把握する

クライアントPC上にある個人情報、機密情報を棚卸

クライアントPCに保存されているファイルの中身をチェックします。個人情報や機密情報に該当するファイルの保持状況をリスト化してリストをベースに、重要な情報が適切に管理されているかの確認をします。

個人情報、機密情報ファイル取得項目

• 対象のマシン
• 検出されたファイル数
• ファイル名
• 個人情報/機密情報/特定個人情報の区分
• ファイルパス
• ファイルサイズ
• ファイル作成日時
• ファイル更新日時

ステップ2　スマートフォンやUSBメモリの利用を制限、
　　　　　　情報持ち出しリスクを最小化

デバイス制御

iPhone、Androidなどのスマートフォンの制御はもちろんのこと、CD / DVD / Blu-ray / FD / SDカード / USBデバイス等 / 共有フォルダ / ポータブルデバイス / MO 等の各種デバイスを制御します。重要データの持ち出しを制限したり、デバイス自体の使用を禁止することで内部不正対策、セキュリティ強化を図ります。

ステップ3　個人情報、機密情報に関するPC操作ログ監視・監査体制を構築
　　　　　　膨大なログの中から問題となる操作の監査をかんたんに実現

PC操作ログの監視

クライアントPCに関するさまざまな操作ログを取得、監視します。取得の可否も細やかに設定することができ、ポリシーや運用環境に合わせた監視体制を構築することができます。

定期レポートを活用した監査

個人情報、機密情報が含まれたファイルをUSBメモリ等にコピーしたログだけをレポートするなどが可能です。
レポートを元に、定期的に該当部門に報告を求める運用が確立できます。

その他の内部不正対策

ファイル自動暗号化で持ち出しを防ぐ

さまざまなシーンでの自動暗号化に対応しているため、うっかりミスや、不正に持ち出そうとした場合の情報漏洩リスクを軽減することができます。

①個人情報・機密情報を検知したタイミングで自動暗号化
②USBデバイスへ、ファイルを書き出したタイミングで自動暗号化
③送信メールにファイルを添付したタイミングで自動暗号化
④クラウドストレージへファイルをアップロードしたタイミングで自動暗号化

メール送信などによる持ち出しを防ぐ

メール本文の他にも、添付ファイルの実態も取得が可能なため、メール送信による情報の持ち出しリスクを軽減できます。