内部不正防止の強化

近年、報道などで見られるとおり、内部不正による情報セキュリティ事故が度々発生しています。主な事例としては、社員や職員などの内部関係者によって顧客情報や製品情報が不正に売られたり、悪意はないにしても、ちょっとしたミスや自宅で作業するために情報を持ち帰った際に個人パソコンから漏えいしてしまったりということがあります。

国内での事例

日本国内で起きた最近の事件には、某自治体のサーバー更新の入れ替えを行った際、その作業をしていた委託業者の従業員によってそのハードディスクが不正転売されたという事件があります。問題はそれだけではなく、内部データの消去が不十分であったことにも注目できます。某自治体職員側で十分注意してハードディスクのデータ消去を徹底していたならば、情報流出を最小限に防げたかもしれません。

ほかにも、某企業のネットショッピングサイトに対する不正アクセスにより顧客情報の流出した事件、某大学病院の医師が海外出張中にノートPCや携帯を入れていた鞄が盗難され、患者や大学教職員の情報が流出した事件など、サイト内の脆弱性によるものであったり、個人の不注意によるものであったり、さまざまな要因によって、こうした情報セキュリティ事故は起きているのです。

内部不正による被害

内部不正に関わる事故についてのある調査報告によると、個人情報漏えいの発生件数は全体のわずか1%程度であるのに対して、漏えいした個人情報の数は約25%程度（全体の 1/4近く）となっているようです。このように外部からの攻撃よりも1件あたりの被害が大きいため、ひとたび発生してしまうと事業に大きな影響があることを覚悟しなければなりません。これらの不正や事故によって生じる賠償や信用失墜などは、事業の根幹を揺るがしかねないような規模に発展してしまい、組織における脅威の一つとなりうるのです。

内部不正は風評被害が発生する恐れや、取引先などの関係者との調整がつかないなどの理由から組織内部で処理されてしまう傾向にあり、また、同業他社などの外部組織との間で情報共有されることは稀であることから、内部不正が発生する要因や効果的な対策の検討を要する場合には、それぞれの組織が自らの経験などをもとに個別に対策を講じざるをえないというのが実情です。これからの対策としては、内部不正防止だけではなく、発生してしまった際の早期発見・拡大防止をも視野に入れて、より効果的な対策を講じていく必要があります。

内部不正の対策

独立行政法人情報処理推進機構は、これまでの内部不正行為についての調査やそれらの事例をもとに対策検討を進め、企業やその他の組織において必要なノウハウを提供しています。独立行政法人情報処理推進機構が作成した「組織における内部不正防止ガイドライン」を参考に、内部不正防止対策について、まとめていきたいと思います。 まず、内部不正防止の対策に、状況的犯罪予防の考え方を応用した５つの基本原則を打ち出しています。これらの基本原則をもとに、具体的な対策例を考えていきます。

１．犯行を難しくする(やりにくくする)：対策を強化することで犯罪行為を難しくする

アクセス制御、パスワードポリシーの設定、退職者の ID 削除、セキュリティワイヤーによる PC 固定など、標的となる対象そのものの防御を強化しましょう。

外部者の立ち入り制限、入退出管理を行い、部外者の施設の出入りを制限しましょう。

出口で検査することにより、ノート PC 等の持ち出し検査、メールやネットの監視を行います。

物理レベルに応じた入退制限により、犯罪者から物理的に保護しましょう。

未許可の PC/USB メモリの持ち込み禁止、SNS の利用制限、ホテル及び公衆の無線 LAN の利用制限を設けることにより、情報機器やネットワークを制限しましょう。

２．捕まるリスクを高める(やると見つかる)：管理や監視を強化することで捕まるリスクを高める

アクセスログの監視、複数人での作業環境、情報機器の棚卸し、モバイル機器の持出管理、入退室記録の監査などにより、監視を強化しましょう。

自然監視を支援するため、通報制度の整備を行いましょう。

ID 管理、共有アカウント廃止、台帳による持出し管理をすることにより、作業者の匿名性を減らしましょう。

現場管理者を利用することで、単独作業ができないようにしましょう。

監視体制を強化するため、監視カメラの設置や機械警備システムの導入を検討しましょう。

３．犯行の見返りを減らす(割に合わない)：標的を隠す/排除する、利益を得にくくすることで犯行を防ぐ

アクセス権限の設定、モバイル機器等の施錠保管、覗き見防止フィルムの貼付を徹底し、標的の存在を隠すようにしましょう。

データの完全消去、記録媒体等の物理的な破壊、関係者に開示した情報の廃棄・消去など、作業完了後のデータ管理を徹底しましょう。

情報機器及び記録媒体の資産管理を行うことにより、職員等の所有物を特定できるようにしましょう。

警察への迅速な届出や法制度対応を十分活用し、被害を最小限にする体制を整えましょう。

電子ファイル・ハードディスク・通信の暗号化により、部外者が利益を得にくくしましょう。

４．犯行の誘因を減らす(その気にさせない)：犯罪を行う気持ちにさせないことで犯行を抑止する

欲求不満やストレスを減らす、対立（紛争）を避ける、感情の高ぶりを抑える、仲間からの圧力を緩和するという面での対策として、
①公正な人事評価、②適正な労働環境、③円滑なコミュニケーションの推進することができます。

模倣犯を阻止するため、再発防止策としてインシデントの手口の公表を慎重にしましょう。

５．犯罪の弁明をさせない(言い訳させない)：犯行者による自らの行為の正当化理由を排除する

基本方針の策定や管理・運用策の策定、業務委託契約、就業規則を設定し明確な規則を設けましょう。

基本方針を組織内外に提示し、教育による周知徹底を行います。

管理レベルの表示や誓約書へのサイン、持ち込み禁止のポスターによって、各自の良心に働きかけましょう。

順守事項や関連法などの教育を定期的に行い、コンプライアンスを支援します。

当然のことですが、職場での飲酒禁止、重要情報所持時の飲酒制限などの規制を行います。

このほかにも、ガイドラインの中では、資産管理や運用管理、人的管理、コンプライアンス、職場環境、事後対策、組織の管理などの観点で参考となる30項目の対策を具体的に、かつできる限り網羅的に示してあります。

例えば、資産管理の一例として、次のような項目があります。

必要に応じて、ぜひ参考にしてみてはいかがでしょうか。