ビジネスの課題・お悩み ここで解決!

内部不正の実態と情報漏えいを防止する対策

内部不正の実態と情報漏えいを防止する対策
2019.03.29 (2019.10.28修正)

社会のIT化が進み、外部からの不正アクセスや攻撃への対策意識が高まる中、見落としがちな「内部不正」による情報漏えい。コンプライアンスやガバナンス強化の面からも、組織内部における情報管理への注目は高まっています。実際にあった事例から見る内部不正防止の重要性や対策方法についてご紹介します。

内部不正とは何か

内部不正とは何か

内部不正とは、企業の従業員や関係者など内部の者による機密情報や情報資産の盗用や漏えい、また破壊や廃棄などの不正な行いのことです。企業の役員や従業員にとどまらず、業務委託先や取引先の担当者、退職者、外注先の担当者なども内部関係者とされます。
また、故意に実行される不正行為だけではなく、内部関係者が誤って情報を流出させてしまうなどの人的なミスによる損害が発生した場合も内部不正とみなすことがあります。
内部不正のなかでも実害が少ないものについては、当該関係者の罰則を伴わない処分などで対処するケースが多くなります。しかし悪意を持って故意に行われ、かつ被害が甚大な不正行為の場合は、発覚すれば刑事事件に発展することや、大々的な報道で周知される場合もあります。

内部不正によって発生する被害

内部不正による被害は、外部からのハッキングやスパムなどのサイバー攻撃によるものと比べて被害が大きくなる傾向にあります。具体的なコストの内訳は、直接的な損害のほか、取引停止などの信用問題によるものや内部調査にかかる費用などが含まれます。また、内部不正の実行者が処分などに至った場合の人的損失や、業務上のダメージを回復するための措置に関する負担なども挙げられます。
被害額が大きい上に、知名度の高い大企業などで内部不正が明るみに出た場合の風評による損失も加味すると、企業の存続にかかわる大問題へと発展する場合もあります。また、信用の損失を恐れて企業側が明らかにしていない内部不正の事例も数多くあるといわれており、情報が少ないため対処が追い付かないという現状も存在します。

組織における内部不正の実態

人材を通じた技術流出に関する調査研究 報告書
経済産業省「人材を通じた技術流出に関する調査研究報告書(別冊)」をもとに作成

経済産業省が公表した「人材を通じた技術流出に関する調査研究 報告書」によると、営業秘密が競合他社へ流出した原因として、中途退職者(正規社員)による漏えいが50.3%、現職従業員等のミスによる漏えいが26.9%、金銭目的等の動機をもった現職従業員等による漏えいが10.9%となっています。

また、同報告書において、過去5年間で営業秘密の漏えい事例が明らかにあったと回答した企業のうち、流出した情報の種類では「顧客情報、個人情報」が82.5%と最も多く、次いで「経営戦略に関する情報」38.5%、「製造に関するノウハウ」34.4%と続いています。

持ち出し方法として、「USBメモリへの保存」「遠隔操作ソフトをインストールしてのデータコピー」などが多くみられます。

内部不正の事例

実際にあった内部不正の事例として過去に多かったものは、顧客名簿や機密文書など紙文書の持ち出しによるものでした。しかし近年ではIT化を反映し、以下のような内部不正が主体になっています。

1.USBメモリによるデータ持ち出し
地方自治体の職員が、貸与されたUSBメモリを私的流用の上、行政文書のデータをコピーして外部へ持ち出していたという事例があります。業務を自宅に持ち帰って行うためにコピーが欲しかったという動機で外部流出はありませんでしたが、該当の職員は懲戒処分を受け依願退職をしています。

2.遠隔操作ソフトによる情報の盗用
家電販売店の正規従業員が社内パソコンに遠隔操作ソフトをインストールして退職し、その後長期にわたって社内の機密情報を得ていた事例があります。それらの情報は同業他社に渡り、新規競合ビジネスの立ち上げに用いられたため刑事告訴に発展。犯人の元従業員は逮捕され、有罪判決を受けるに至りました。

ALSOKの関連商品

建物のセキュリティだけではなく、情報警備もALSOKにお任せください!
情報セキュリティサービスの商品一覧はこちら

内部不正の発生原因

1.人的要因

内部不正の発生原因

人的要因による不正とは、人が原因となって不正が起こることを指します。意図的に実行される不正のほか、メールの誤送信や設定ミスなど、人災ともいえる過失による不正も含まれます。
人的要因による内部不正が意図的に行われる場合の動機は、「会社への待遇不満」や「会社から不当な要求を受けたこと」、「杜撰な管理体制につけ込み、発覚しないと思ったこと」などが主体となっています。
また、実際にあった内部不正事件では、事件を起こした内部関係者が個人的な借金などで金銭に困っていたため、不正を実行したという例もあります。

2.技術的要因

人的要因によって動機やミスなどの原因が確立していても、それを実行できてしまう技術的な要因がそろっていなければ事件には発展しません。内部不正が実行される技術的要因で主だったものとしては、先にも述べた「杜撰な管理体制」が挙げられます。
たとえば、容易に持ち出せるUSBメモリにパスワードなどのセキュリティ対策を実施していないことや、メール送信時のチェック体制が甘いなどのケースがあるでしょう。
技術的要因をなくすには、データの持ち出しを容易に行えないよう対策を行ったり、メールの誤送信を防ぐためシステム環境を整えたりするなどの施策が有効です。

人的要因である「動機」と「不正の正当化」、そして技術的要因に起因するところが大きい「不正の実行機会」の3つを「不正のトライアングル」と呼ぶことがあります。この3要素がそろって不正が行われることを意識し、不正の発生確率を減らす対策に取り組みましょう。

内部不正防止対策の基本

内部不正防止対策の基本

内部不正の発生を防ぐには、内部不正を行う前の対策と発生してしまった後の対策の双方を想定して対処法を講じておくことが必要です。

1.内部不正を未然に防ぐための対策

先に述べた「不正のトライアングル」である「動機」「不正の正当化」「実行機会」のいずれか、もしくはすべてを発生させない取り組みが大切です。
なかでも不正そのものを実行できない状態にする「実行機会」の阻止は重要になるでしょう。システム上で管理・監視体制を整え、不正に至らないよう対処しておくことで発生確率は低く抑えられます。

2.内部不正発生後の対策

内部不正が起こってしまったときは、最優先に再発を防ぐ取り組みを行うことが必要です。発生要因の具体的な特定を行って、その要因を社内から取り除くために人的・技術的両側面から実効的な対処をします。
また、不正を起こしても得られるものはなく、失うもののほうが多いということを内部関係者に知ってもらうための指導・教育の見直しなども行わなければなりません。

ALSOKの関連商品

建物のセキュリティだけではなく、情報警備もALSOKにお任せください!
情報セキュリティサービスの商品一覧はこちら

内部不正を防止するためには

「ALSOK PCマネジメントサービス」で内部不正を防止

対象となる情報資産や必要となる対策は、業種や取引先との取り決めなどによりさまざまですが、いくつかポイントを挙げてご紹介します。

PC管理の徹底

会社で購入したPC台数やインストールしているソフトウェアのバージョンを把握することは、あらゆる対策の基本となります。専任のIT管理者がいない場合や本社以外の拠点がある場合には、ネットワーク上のPCを一元管理できるツールが便利です。

未知の脅威への対策の徹底

不正行為を未然に防ぐには、それに至る可能性を含んだ異常な振る舞いから発生を予期し、怪しいと思われるシステムの動作やその特徴を検知する対策も有効です。これは「振る舞い検知」と呼ばれ、近年のセキュリティシステムにはパッケージ内に導入されているものも増えています。

サイトアクセスの実態の把握

改ざんされたサイトにアクセスすると、閲覧するだけでマルウェアに感染したり、個人情報の搾取を目的にした偽サイトに誘導されるケースがあります。業務上不要なサイトにアクセスしていないかアクセス履歴を記録し、不適切なサイト閲覧がある場合は制限することも必要となります。(URLフィルタリング)

データの利用実態の把握

PCログインやフォルダアクセスを制限しても、メールやUSBメモリなどでデータ(ファイル)を共有しているケースがあります。不適切なデータ利用を把握するには、データ(ファイル)へのアクセスを含むPC操作を記録することが望まれます。

私物端末のアクセス制限

経費削減や業務効率化などの理由で、社員の個人所有端末を業務で使用する「BYOD (Bring your own device)」を取り入れたり、働き方改革としてテレワークなどを検討する場合は、セキュリティレベルが低下しないような対策をセットで行うことが必要です。
社員が会社の管理下にない端末で業務活動を行う、いわゆるシャドーITによる被害を防止するには、許可されていない端末を検知するといった対策が有効です。

外部メディアの利用制御

USBメモリ持ち出しによる内部不正の事例が多いように、外部記憶媒体が簡単に持ち出せる状況が当たり前であればあるほど、盗難などの不正リスクも高くなります。USBメモリのほか、CD・DVD・BD、外付けハードディスクなどの外部メディアに関しては、システム上での利用制御や強制的な暗号化などの対処が特に重要になるでしょう。

担当者の負担をなるべく抑える

多様な雇用形態や副業が認められるようになり、IT端末やデータ管理の重要性はますます高くなっています。一方で、多くの企業では専任の担当者を確保することは、業務負担とスキルの両面から、なかなか難しい問題です。
有効な対策サービスの導入によって過度に業務負担が増えないよう、機能面で適切なサービスを選ぶとともに、サポート条件(受付時間や手段)の確認も重要となります。

ALSOKなら、PCやタブレットなどの管理からセキュリティ対策、外部メディアの制御、操作ログの取得、企業のIT資産管理に係るサービス導入から運用までサポートします。

まとめ

独立行政法人 情報処理推進機構(IPA)が発表した「2019年の10大脅威」の4位に「サプライチェーンの弱点を悪用した攻撃の高まり」が入っています。取引先による情報漏えいも発生していることから、今後は、社内だけでなく取引先にも対象を広げた、情報セキュリティ管理が求められるようになるでしょう。

実際に、情報セキュリティ管理体制の有無が取引条件に入っているケースも増えています。社内に重要データが保存されたファイルサーバーがある場合は、物理的な出入管理と組み合わせたセキュリティ対策を講じ、内部不正が起きにくい環境づくりを行うことも必要といえます。