内部不正とは?主な手口や原因、対策のポイントをご紹介
更新日 : 2024年01月25日
情報漏えいの原因はサイバー攻撃だけではありません。 組織の関係者や退職者による情報漏えいの対策はお済みでしょうか。 独立行政法人情報処理推進機構(IPA)が発表した「企業における営業秘密管理に関する実態調査2020」報告書によると、情報漏えいで最も多いルートは「中途退職者による漏えい」「現職従業員などの誤操作・誤認識等による漏えい」といった内部不正に関するものでした。 本コラムでは内部不正とはなにか、発生した場合の影響やその原因、対応のポイントについてご紹介します。内部不正対策を検討中の方はぜひご覧ください。 |
目次 |
内部不正とは
内部不正とは、組織の関係者または元関係者が重要な情報を持ち出したり、漏えいや消去したりなどの不正な行為を指します。これには金銭的な目的など故意による行動や、うっかりミスなど意図せず引き起こしてしまった行動も含まれます。 IPAが発表した「組織における内部不正防止ガイドライン」の定義によると下記の通り記されています。
また「情報セキュリティ10大脅威2022」において、「内部不正による情報漏えい」が組織の立場における脅威の5位にランクインしていることから、内部不正は他人事ではない脅威と言えるでしょう。 |
重要情報とは
重要情報とは、組織が保有・管理する情報の中で、消去や漏えいにより事業へ影響を及ぼす可能性があるものです。 組織によって定義は異なりますが、一般的に情報内容に応じた格付けによって重要度を付与し、取り扱いを定められています。情報の種類について具体例を交えてご紹介します。
|
内部不正がもたらす影響
内部不正が起きた場合、下記のような影響が考えられます。
たった一人の従業員が過ちを犯してしまったとしても、組織の存続や従業員の生活をおびやかす脅威になりうるため、内部不正は経営者・ 経営陣が真摯に向き合わなければならない経営課題とといえます。 |
▼ホワイトペーパーのサンプル▼ |
本ホワイトペーパーでは情報セキュリティ10大脅威2024にランクインしたサイバー脅威の原因や対策方法とセキュリティ運用に関連する用語を解説しています。 自社のセキュリティ強化を検討されている方はぜひダウンロード下さい。 |
内部不正の主な手口
内部不正が行われる主な手口として、下記が挙げられます。
このように内部不正が実行されないよう、重要情報に関わる管理体制の確立、取り扱いルールの整備と従業員へ周知、システム的な制御の導入が必要です。 |
内部不正の原因、内部不正防止の基本原則
内部不正の原因としては、「情報を流出させることで報酬を得たい」や「有利な条件で転職したい」といった私的な動機や私怨、プレッシャーなどにより引き起こされます。 「不正のトライアングル※」によると、「動機」「機会」「正当化」の3要素が揃うことで不正が起きるとされています。内部不正を発生させないためには、このような動機をもった従業員に実行の機会を与えないことが重要です。 「組織における内部不正防止ガイドライン」では犯罪予防理論を基にした5つの基本原則を制定し、これに基づき対応項目をまとめられています。 |
※犯罪学者Donald R. Cresseyが提唱した理論をもとに会計学者W. Steve Albrecht氏がモデル化。 |
内部不正を防ぐための対策のポイント
内部不正対策として具体的どのような管理が必要か、「組織における内部不正防止ガイドライン」には下記10の観点で記載されています。 また、付録に検討すべき対策内容やチェックシートがあるため、組織としてどこまで対応できているのかチェックしてみてはいかがでしょうか。 内部不正を防ぐための管理のあり方
|
まとめ
ガイドラインを用いて内部不正の概要と、発生原因や対策のポイントに関してご紹介しました。
JBサービス株式会社では内部不正対策に関するセキュリティサービスをご提供します。セキュリティ対策の導入、運用会社をお探しであれば、お気軽にご相談下さい。 |
【項目2・4・5】重要情報のラベル付け、操作ログの収集はDLP製品「デジタルガーディアン」
デジタルガーディアンは、データのコピーや外部への送信といった動きとプロセスを把握し、リスクや脅威を可視化するDLP製品です。JBサービス株式会社はでは、デジタルガーディアンの導入から運用代行サービスまでご用意しています。 |
【項目3】データ消去サービス
JBサービス株式会社では、お客様のニーズに応じたデータ消去サービスをご用意しています。豊洲ソリューションセンター内の専用ルームにて対応しますのでご安心ください。オプションで第三者認証のデータ消去証明書の発行も可能です。 |
【項目3・4】デバイス管理なら「Microsoft Intune」
外部記録媒体の利用やアプリケーションのインストールを制御、紛失や盗難にあった際に遠隔からのデータ消去であればMicrosoft Intuneがおすすめです。JBサービス株式会社はMicrosoft Intuneの導入サービスをご用意しています。 |
【項目4・6】実践的で効果が可視化できるセキュリティ教育サービス「SecuLiteracy」
人的管理における内部不正対策でお困りであれば、セキュリティ教育サービスSecuLiteracyをおすすめします。実践的な教育の導入や、従業員の理解度を可視化し教育対象者へのフォロー教育などをサポートします。 |
【項目7】Microsoft 365/Office 365ユーザーにおすすめ「Microsoft 365コンプライアンス」
Microsoft 365コンプライアンスは、コンプライアンスリスクの評価や機密データの管理体制と保護を行い規制要件に対応しますので、情報漏えい・内部不正・ハラスメントといったリスクを軽減するのに役立ちます。 |
- 内部不正とは?
組織の関係者または元関係者が重要な情報を持ち出したり、漏えいや消去したりなどの不正な行為を指します。これには金銭的な目的など故意による行動や、うっかりミスなど意図せず引き起こしてしまった行動も含まれます。詳しくはこちらをご覧ください。
- 内部不正対策のポイントは?
「組織における内部不正防止ガイドライン」をもとに組織としてどこまで対応できているのかチェックしてみてはいかがでしょうか。詳しくはこちらをご覧ください。