フォーム読み込み中
内部不正対策 〜セキュリティ教育では阻止できない情報漏えいの防ぎ方〜
ソフトバンクビジネスブログ編集チーム
野邊 慎吏
2021年よりソフトバンク法人マーケティング部門でドキュメント制作に携わる。主に中小企業の経営者を対象にした定期刊行冊子の編集を担当。
2022年10月26日掲載
情報漏えいと聞くと、多くの人はサイバー攻撃を連想しがちです。しかし情報漏えいの実状としては、社内の関係者による機密情報の不正持ち出しが圧倒的大多数です。なぜ内部不正が起こるのか、「魔が差す」メカニズムと有効な対策について解説します。
機密情報漏えいを取り巻く状況
近年深刻化している情報漏えい問題。顧客データの流出や機密情報の不正持ち出しなどのニュースが連日のように報道されています。その被害は甚大で、日本ネットワークセキュリティ協会(JNSA)の「2018年 情報セキュリティインシデントに関する調査報告書」によると、情報漏えいインシデント1件当たりの平均想定損害賠償額は6億3,767万円となっています。また、社名が報道された場合には、株価急落によって時価総額が減少するなどの間接被害も想定されることから、最終的に会社の存続に関わるような損失に膨れ上がる恐れがあります。
情報漏えいに対する社会的危機感の拡大から、個人情報をはじめとした社内データの適正な利用と保護を促すため、企業の情報利用に関わる法制度の見直しが進んでいます。2022年4月から施行された「改正個人情報保護法」では、漏えい発生時に個人情報保護委員会への報告と本人への通知が義務化されるようになりました。
情報資産の保護だけでなく企業の社会的信用を失墜させないためにも、情報漏えいを防ぐための環境整備は必要不可欠です。
「内部不正」が情報漏えいの8割
情報漏えいを防ぐために、まずはどのようなルートで情報が流出するのか把握しておきましょう。2021年に公開された「企業における営業秘密管理に関する実態調査」(IPA)によると、最も多い情報漏えいルートは、意外なことに「中途退職者による情報の不正持ち出し」でした。さらに、「現職従業員等の誤操作・誤確認」「現職従業員等のルール不徹底」が続いており、こうした内部要因による情報漏えいを足し上げると80%以上になります。
ニュースなどで取り沙汰されやすい「サイバー攻撃による社内ネットワークへの侵入」は10%に満たないことから、情報漏えいの大半が内部から発生していることが分かります。
「企業における営業秘密管理に関する実態調査 2020」(IPA)
内部不正のメカニズム
「悪意をもった内部関係者による情報漏えい」や「ヒューマンエラーによる情報漏えい」のような、企業内部の関係者による内部不正はなぜ発生するのでしょう。ここで、内部不正が発生するメカニズムを詳しく見てみましょう。
悪意をもった内部関係者による不正流出
米国の犯罪学者ドナルド・R・クレッシーによると、「動機」「正当化」「機会」の三要素がそろうことで、人は悪事を働きやすいとされています。
例えば「動機」では、前職の情報を持ち出せば転職先で優位に立てる、機密情報が競合企業に高値で売れるなど、何らかの報酬を得られることが情報漏えいの動機となります。ほかにも、上司からの叱責に対する腹いせのように、会社への恨みが動機となるケースもあります。
「正当化」とは、苦労している自分は報われるべきだ、会社が悪いから困らせてやろう、といった不正行為を後押ししてしまうロジックを指します。
しかし、動機や正当化だけでは内部不正は起こりません。重要な情報を持ち出しやすい、パスワードを知っているなど、不正を容易に行うことができる「機会」がそろうことで不正が実行されてしまいます。
逆に、三つの要素のうち一つでも対策することができれば、悪意をもった情報漏えいのリスクは大幅に下げられると言えます。「動機」や「正当化」は個人の思考に起因するため対策が困難ですが、「機会」に関しては情報管理の方法を見直すことで対処することが可能です。
| ◆転職先で優位に | |
|---|---|
| 動機 | 前職企業の顧客データを持ち出して、転職先での成績を上げたい |
| 正当化 | 競争の激しい業界の慣習として、今までもよくあったこと |
| 機会 | 顧客データの一覧を簡単にダウンロードできた |
| ◆金銭目的 | |
| 動機 | 製造工程に関する情報の高額取引を、競合他社から持ちかけられた |
| 正当化 | 自分はもっと報酬を貰うべきだ |
| 機会 | 業務委託先社員として製造管理システムの保守・運用を行っていた |
| ◆上司から𠮟責された恨み | |
| 動機 | サーバ内の情報をWeb上に公開&データ削除して、会社を困らせてやりたい |
| 正当化 | 自分は悪くないのに不当な扱いを受けている |
| 機会 | IDとパスワードを知っていれば誰でもサーバにアクセスできた |
ヒューマンエラーによる情報漏えい
内部不正は悪意によるものだけではありません。メールの誤送信やノートPCの置き忘れのような、うっかりミスによって情報が漏えいするケースがあります。しかし、こうしたミスの大半は、正規の方法は面倒だから手順を省略する、他の人もやっているから大丈夫といった「ルールの未順守」が要因になっています。たとえ故意ではなかったとしても、重要データの流出は企業に甚大な被害をもたらすため、必ず情報利用のルールを徹底させる必要があります。
内部不正対策の落とし穴
内部不正を防止するため、社員の情報リテラシー向上を目的とした教育やルールの徹底に、多くの企業が取り組んでいます。それでも内部不正による情報漏えいが後を絶たないのは、性善説に基づいた対策だけでは不十分なためです。悪意やルールの未順守のような人的要因による不正行為を抑止するためには、技術的に「犯行を困難にする」「諦めさせる」「発覚しやすくする」仕組みが重要となります。
内部不正を技術的に抑止する仕組み
また、情報漏えい対策としてセキュリティ製品を導入していたとしても、万全とは言えません。なぜなら、セキュリティ製品の多くは外部からの侵入検知を目的としているためです。内部不正の場合は、正規の権限を利用して情報にアクセスしているため、外部脅威への対策では内部犯による疑わしい行動を検知することが困難です。
内部不正専用の対策ツールがおススメ
内部関係者からの情報漏えいを防ぐ効果的な手段として、内部不正対策専用ツールの利用が考えられます。内部不正対策専用ツールは、PCやサーバ上のユーザ行動とデータの動きを解析して、リスクを可視化するソリューションです。未許可のクラウドストレージへのアップロードやファイルの大量コピーのように、明らかに不正につながる操作を検出した際には、管理者とユーザへの警告や操作ブロックを行うことで不正操作を抑止します。また操作画面の録画などによって、情報持ち出しの確実な証拠を記録するサービスもあります。
身内を疑いたくない、身内を責めたくないという感情を優先して、内部不正対策を疎かにしてはいけません。誰にでも「魔が差す」可能性はありますし、無意識に情報漏えいにつながる行為を行っている場合もあります。会社の信用と善良な社員を守るためにも、自社の内部不正対策に検討の余地がないか、今一度確認してはいかがでしょうか。
資料ダウンロード
悪意ある情報漏えいへの対抗手段
内部不正を防ぐためには、社員への教育だけではなく、社員の疑わしい行動を事前に検出できる仕組みの検討が必要です。
本資料では、内部犯行を起点とした情報漏えい事件の実態を元に、内部不正対策のポイントと犯行を抑止する内部不正対策専用ツールの導入メリットについて解説します。
関連サービス
Proofpoint ITM
Proofpoint ITMは、PCやサーバ上でのユーザ操作をリアルタイムに監視・記録・分析し、内部不正のリスクをスコアリングして可視化するとともに、不正な操作に対する警告や抑止を行います。これにより、悪意のある不正行為及び不注意や無意識から生じる事故の抑止や証拠保全が可能となります。
関連セミナー・イベント
おすすめの記事
条件に該当するページがございません
