ビジネスの課題・お悩み ここで解決!

内部不正の実態と情報漏えいを防止する対策

内部不正の実態と情報漏えいを防止する対策
2019.03.29

IT化が進み、システムを利用した業務の遂行や情報管理の普及に伴い、情報セキュリティの重要性が高まっています。
情報セキュリティというと、外部からの不正アクセスや攻撃に対する防止対策が話題になることが多いですが、内部不正による情報漏えいも相変わらず多く、コンプライアンスやガバナンス強化の面からも、組織内部における情報管理への意識が問われています。

組織における内部不正の実態

経済産業省が公表した「人材を通じた技術流出に関する調査研究 報告書」によると、営業秘密が競合他社へ流出した原因として、中途退職者(正規社員)による漏えいが50.3%、現職従業員等のミスによる漏えいが26.9%、金銭目的等の動機をもった現職従業員等による漏えいが10.9%となっています。

人材を通じた技術流出に関する調査研究 報告書
経済産業省「人材を通じた技術流出に関する調査研究報告書(別冊)」をもとに作成

また、同報告書において、過去5年間で営業秘密の漏えい事例が明らかにあったと回答した企業のうち、流出した情報の種類では「顧客情報、個人情報」が82.5%と最も多く、次いで「経営戦略に関する情報」38.5%、「製造に関するノウハウ」34.4%と続いています。

持ち出し方法として、「USBメモリへの保存」「遠隔操作ソフトをインストールしてのデータコピー」などが多くみられます。

内部不正防止対策の基本

内部不正の防止には、社内規定の強化や禁止事項を定めることも必要ですが、それが実行されていることがなにより重要です。社内にある情報資産の管理・利用実態を把握できないと、規定の形骸化につながります。効果のある規定を検討、修正していくためにも、管理・利用実態を把握することが欠かせません。

内部不正防止対策の基本

「ALSOK PCマネジメントサービス」で内部不正を防止

「ALSOK PCマネジメントサービス」で内部不正を防止

対象となる情報資産や必要となる対策は、業種や取引先との取り決めなどによりさまざまですが、いくつかポイントを挙げてご紹介します。

PCの管理を徹底したい

会社で購入したPC台数やインストールしているソフトウェアのバージョンを把握することは、あらゆる対策の基本となります。専任のIT管理者がいない場合や本社以外の拠点がある場合には、ネットワーク上のPCを一元管理できるツールが便利です。

サイトアクセスの実態を把握したい

改ざんされたサイトにアクセスすると、閲覧するだけでマルウェアに感染したり、個人情報の搾取を目的にした偽サイトに誘導されるケースがあります。業務上不要なサイトにアクセスしていないかアクセス履歴を記録し、不適切なサイト閲覧がある場合は制限することも必要となります。(URLフィルタリング)

データの利用実態を把握したい

PCログインやフォルダアクセスを制限しても、メールやUSBメモリなどでデータ(ファイル)を共有しているケースがあります。不適切なデータ利用を把握するには、データ(ファイル)へのアクセスを含むPC操作を記録することが望まれます。

私物の端末のアクセスを制限したい

経費削減や業務効率化などの理由で、社員の個人所有端末を業務で使用する「BYOD (Bring your own device)」を取り入れたり、働き方改革としてテレワークなどを検討する場合は、セキュリティレベルが低下しないような対策をセットとすることが必要です。
社員が会社の管理下にない端末で業務活動を行う、いわゆるシャドーITによる被害を防止するには、許可されていない端末を検知するといった対策が有効です。

担当者の負担はなるべく抑えたい

多様な雇用形態や副業が認められるようになり、IT端末やデータ管理の重要性はますます高くなっています。一方で、多くの企業では専任の担当者を確保することは、業務負担とスキルの両面から、なかなか難しい問題です。
有効な対策サービスの導入によって過度に業務負担が増えないよう、機能面で適切なサービスを選ぶとともに、サポート条件(受付時間や手段)の確認も重要となります。

まとめ

独立行政法人 情報処理推進機構(IPA)が発表した「2019年の10大脅威」の4位に「サプライチェーンの弱点を悪用した攻撃の高まり」が入っています。取引先による情報漏えいも発生していることから、今後は、社内だけでなく取引先にも対象を広げた、情報セキュリティ管理が求められるようになるでしょう。

実際に、情報セキュリティ管理体制の有無が取引条件に入っているケースも増えています。社内に重要データが保存されたファイルサーバーがある場合は、物理的な出入管理と組み合わせたセキュリティ対策を講じ、内部不正が起きにくい環境づくりを行うことも必要といえます。