組織内部の関係者が、機密情報を外部へ漏洩させる内部不正は、組織の社会的信用を大きく失墜させ、場合によっては事業の継続を脅かす重大事件に発展してしまう恐れがあります。内部不正のリスクから組織や従業員を守るためには、どのような対策が求められているのでしょうか。本記事では、内部不正の概要と要因、その対策についてわかりやすく解説いたします。
目次
内部不正とは
内部不正とは、組織や企業内部の関係者が機密情報・情報資産を持ち出し、漏洩、消去、破壊などを行う不正行為のことです。違法行為はもちろんのこと、情報セキリュティに関する内部規定違反等の違法とは言えない不正行為も内部不正に含まれます。内部不正が起こる3つの要因
内部不正の要因として以下の3つが考えられます。
- 技術的要因
- 故意による人的要因
- ヒューマンエラーによる人的要因
1つ目の「技術的要因」は、内部不正の要因のなかでも情報技術に依存したものであり、情報資産を保持するシステムの弱点が原因となって起こるものです。具体的には、社内で活用しているシステムの脆弱性によりパスワードが漏洩してしまったり、セキュリティ監視による異常な振る舞いの検知や追跡調査の機能を有しておらず、不正行為を働いた人物を特定できない状況であること等が挙げられます。
2つ目の「故意による人的要因」は、悪意を持った人物によって行われる不正行為のことです。具体的には、正当な理由なく機密情報を消去したり、外部へ持ち出したりということが挙げられます。
また、「故意による人的要因」は、「不正のトライアングル」を満たす環境下において起こる可能性が高いとされています。不正のトライアングルとは、「動機」「機会」「正当化」の3つの要素が揃うと、人間は不正行為を働くという理論です。下にわかりやすく図を用意しました。
3つ目の「ヒューマンエラーによる人的要因」は、人のミスによって生じる不正行為のことです。具体的には、機密情報を扱う際の誤操作、記憶媒体の紛失などが挙げられます。当事者の知識や経験不足、キャパシティオーバーによって起こる可能性が高いとされます。
内部不正を後押しする環境の変化
これまでは、業務に利用するPCは社内ネットワークへ接続することが当たり前であり、ファイアウォール等の境界型の防御によってセキュリティや内部不正の対策が担保されていました。しかし、近年はリモートワークの普及により、自宅からPCを直接インターネットに接続する形態が増えています。エンドポイントの通信ログ収集等ができず、組織の監視が及ばない状況下では、内部不正を働く機会が増え、それに伴うリスク上昇が考えられます。オフィスでの業務と違って、上司や同僚の目が届かない状況で仕事をすることになるため、悪意を持つユーザーはより自由に行動できるということです。
また、ソーシャルエンジニアリングも内部不正を後押しする要因として挙げられます。ソーシャルエンジニアリングとは、情報通信技術を使うことなく重要な情報を盗み出すサイバー攻撃の手法のことです。
具体的には、入力中の個人情報を盗み見る「ショルダーハッキング」や、ゴミ箱から機密情報が書かれたメモや記憶媒体を漁る「トラッシング」といった手口があります。これらの手口の多くは、組織や企業内部の人間が容易に実行できるものがほとんどであり、内部不正やアカウント不正利用の要因になります。
内部不正の対策
組織や企業において内部不正対策を効果的に実施することを目的として、情報処理推進機構(IPA)では、「内部不正防止ガイドライン」を発行しています。当書には、「内部不正対策の基本5原則」というものがあり、これが組織や企業における内部不正対策の重要な指針となります。
基本5原則は、以下の通りです。
1.犯行を難しくする
内部不正の対策を強化することで、不正行為を働きにくい環境にすること。
例)厳格なパスワードポリシーの設定、アクセス権限の制限、施設への入退室の制限...など
2.捕まるリスクを高める
不正行為をすぐに発見できる体制を整備し、不正行為を見逃さないようにすること。
例)ログデータや監視カメラによる行動の監視、内部通報制度の整備...など
3.犯行の見返りを減らす
利益を得難くすることで、不正行為を防ぐこと。
例)電子ファイルやハードディスクを暗号化する...など
4.犯行の誘惑を減らす
不正行為をしようという気持ちにさせないこと。
例)働きやすい労働環境を整備する、適切な人事評価を行う...など
5.犯罪の弁明をさせない
不正行為を働いた際に、言い訳をさせないこと。
例)情報セキュリティポリシーの策定および従業員への認知...など
ただ、内部不正防止ガイドラインおよび基本5原則はあくまでも指針であり、具体的な対策について手順等を細かく指示するものではありません。そのため、組織や企業は内部不正防止ガイドラインの内容を達成するために、独自の対策を検討し実施する必要があります。手法はいくつもありますが、効果的かつ効率的な対策がソリューションの導入です。
参考:組織における内部不正防止ガイドライン | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
内部不正対策に有効なソリューション
リモートワークの普及により、内部不正を働く人物にとって都合のいい環境が揃ってしまっていることは前述で述べた通りです。では、組織はどのようにして従業員の状況を把握し、内部不正の対策を実施していかなければならないのか。そこで注目したいのが、内部脅威検知です。
弊社が取り扱っている「Internal Risk Intelligence(IRI)」は、人の行動の分析に特化した内部脅威検知サービスです。従業員のPCや利用サービス等から収集されたログデータをもとに、異常行動や今後不正行為を働くかもしれないという犯行の可能性などを検知します。それによって、内部不正を未然に防ぐことが当ソリューションの目的です。
ファイルサーバのアクセス履歴やウェブサイトの閲覧履歴、勤怠履歴など、収集されたログデータは分析用システムへ転送され、システムによる分析およびアナリストによって再度分析がなされたのち、最終的な分析結果あるいはアラートが組織へ報告される仕組みになっています。
また、ログデータの分析によって以下のようなリスク事象を検知できます。
|
リスク事象 |
例 |
|
機密情報の持ち出し |
従業員が、組織の機密情報にアクセスして勝手に持ち出そうとしている |
|
ポリシー違反行為 |
プライベート用のフリーメールアドレスに業務ファイルを添付して送受信をしている |
|
想定外のシステム利用 |
アクセスを制限しているはずのストレージサービスにファイルをアップロードしている |
|
超過勤務 |
申請している就業時間を大きく超えて業務でPCを利用している |
|
パフォーマンスの低下 |
勤務時間中に業務と関係のないブログやSNSを長時間閲覧している |
|
離職 |
転職サイトに登録し求人情報を収集している |
「 Internal Risk Intelligence 」
内部脅威検知でビジネスの安全性を確保!
社内のあらゆるログから不審な動きを検知し企業のセキュリティを強化する
https://www.grcs.co.jp/products/iri
包括的な内部不正対策を実現するために
ここまで、ソリューションによる内部不正対策について述べてきましたが、ソリューションを導入すればそれで万事解決ではありません。前述で述べた「不正のトライアングル」に当てはめたとき、どうしてもソリューションでの対策が難しい領域がでてきます。それが、「正当化」です。
「機会」や「動機」は、情報を外部に持ち出せる状況を排除したり、社員の働きやすさを向上させることで動機を抱きにくくするなど、対策がある程度可能な要素です。
ただ、「正当化」については従業員の意識や倫理観に依存する部分が多く、「機会」や「動機」をある程度排除したところで、不正行為を完全に防ぐことはできません。
実行に踏み切らせないためにも、組織内のルールの周知や従業員へのセキュリティ教育の実施、内部不正をはたらいた際の影響や罰則を認知させるなどの取り組みが必要となります。
また、コミュニケーションを活性化することで従業員が抱える問題を早期発見でき、結果として内部不正のリスク低減へ繋がります。相談しやすい環境を整備し、日頃より上司・同僚間などで密接なコミュニケーションを取ることが大切です。
まとめ
本記事では、内部不正の概要と要因、対策についてご紹介しました。リモートワークが普及する昨今は、従業員の様子を組織が把握することが困難になっており、内部不正においても懸念が生じる状況となっています。ソリューションと従業員の心理的側面に着目したアプローチの組み合わせで、包括的な内部不正対策を実施していきましょう。
執筆者:廻立 泰成 、 田中 瑞基
廻立 泰成
セキュリティサービス部 セキュリティエンジニア
大学卒業後、株式会社GRCSへ新卒入社。
セキュリティ製品の機能検証や構築支援業務、および最新のセキュリティ技術の動向調査などの業務に従事。