SS1製品サイト内部不正を未然に防ぐための企業の取り組みとは?
IPA(独立行政法人情報処理推進機構)が毎年公表している「情報セキュリティ10大脅威」の組織向けのランキングで、2022年度に5位、2023年度に4位と上位にランクインしている脅威として「内部不正による情報漏えい」があります。
これは、企業に勤務する従業員や元従業員によって機密情報が持ち出されたり、悪用されたりする「意図的な持ち出し」を指します。
このような内部不正を防ぐために企業が取り組むべきことについて解説します。
アクセス権限の設定
企業が保有する重要なデータを保護するために、まず実施すべきことはデータにアクセスできる人を最小限にすることです。部署によって扱うデータは異なりますし、役職によっても権限は異なります。
たとえば、人事データにアクセスできるのは人事部門のみ、会計データにアクセスできるのは経理部門のみに制限します。特に重要なデータには、一般の職員はアクセスできないように設定し、アクセスできたとしても更新できないように制限します。
【参考】IT資産管理ソフトSS1「フォルダアクセス制限機能」についてはこちら
このように、従業員ごと、部署ごと、役職ごとに権限を決め、それをシステムとして設定するとき、付与する権限を最小にすることを「最小権限の原則」といいます。アクセスできないデータは持ち出すことができないため、最低限必要なアクセス権限だけを付与することで、内部不正を防ぐことにつながります。
なお、人事異動による部署の変更や昇格があると、その従業員の役割が変わることもありますし、プロジェクトの終了などによってアクセス権限を見直すことが求められることもあるため、定期的に権限を見直すことも重要です。
アクセス権限の設定については、前回の記事にも記載した「バックアップの取得」について注意しなければなりません。システム内では厳密なアクセス権限を設定していても、バックアップをDVDなどに取得したときにアクセス権限が外れることがあるためです。
【参考】前回記事「端末の紛失による情報漏洩のリスクを減らす5つの対策とは?」
操作履歴の管理、監査の強化
アクセス権限をどれだけ厳密に設定しても、正規の利用者がデータにアクセスすることは防げません。人事部の従業員が人事データにアクセスすることは業務の一部であり、それを拒否してしまうと仕事になりません。
このような正規の利用者によるデータのアクセスを管理する方法として、操作履歴を管理することが挙げられます。たとえば、PCへのログイン、ファイルのコピー、内容の書き換えなど、システム内の操作を追跡できるようにログとして記録します。
【参考】IT資産管理ソフトSS1「PC操作ログ」機能についてはこちら
特に重要なデータについては、その内容を変更するときは更新が可能なIDの付与を役職者に申請し、承認を得るなどの方法が考えられます。これにより、誰がデータを変更したのかを記録として残すことができます。
このような記録を取得することは、不正な操作をしていないか監視をするだけでなく、不正の疑義が生じた場合に本人を守る意味もあります。情報漏洩が発生したときに、そのデータにアクセスした記録がなければ、自身の身の潔白を証明することができます。
操作履歴は記録するだけでは意味がなく、定期的にチェックする必要があります。情報漏洩が発覚してからその履歴を調べて犯人を特定するのではなく、不審な履歴から内部不正の可能性が高いと判断したら、早い段階で防ぐことが求められます。
たとえば、急に社外との通信量が多くなった、USBメモリなどに接続する回数が増えた、普段の業務とは異なるファイルのコピーが頻発している、などに気づけば、企業は資産を保護できます。このために、異常な行動や不審なパターンを即時検出する自動化ツールの使用などが考えられます。
【参考】IT資産管理ソフトSS1「ログレポート」機能についてはこちら
退職時のID停止
情報の持ち出しが発生する理由として、「データの保存場所を知っていること」、「データへのアクセス権限を持っていること」、「データの価値を理解していること」などが挙げられます。
外部からの攻撃の場合には、データがどこにあるのかわからないため、重要な情報を探すのに時間がかかりますが、データの保存場所を知っている従業員なら瞬時に必要な情報にアクセスできます。
また、データへのアクセス権限を持っている正規の利用者であれば、特殊な攻撃方法を使う必要もありません。そして、データの価値を理解していることから、売れば儲かる、といった判断ができてしまうのです。
多くの従業員はモラルがあるため、情報を持ち出すことには心理的に高いハードルがあります。情報漏洩が発覚すると会社に大きな損害が発生し、自身にも大きな影響があるため、情報を意図的に持ち出すことはしません。
しかし、退職するときは組織に対する不満などが溜まっている可能性があります。このため、持ち出した情報を退職後に他社に売るなどの行為が問題になることが多いものです。これを防ぐことはできませんが、発生すると不正競争防止法違反などで刑事上・民事上の問題になることを伝えるなど、普段からセキュリティ教育を実施することも大切です。
一般的に、退職時にはメールなどのアカウントを停止します。これにより、退職後に社内システムなどにアクセスすることはできなくなります。特に、高度なアクセス権限を持つ従業員の退職時には、不正行為のリスクがさらに高まります。
しかし、問題は「共有アカウント」を使用している場合です。部署単位で1つのIDとパスワードを設定し、複数人で使用していると、退職したあともパスワードが変更されず、社外からアクセスできてしまう可能性があります。
共有アカウントを使用している場合には、退職者が発生したときにパスワードを必ず変更する方法のほか、アカウントを使用するときは管理者に申請して一時的なパスワードを付与する運用も考えられます。
不正のトライアングル
内部不正を防止するには、「不正のトライアングル」(機会、動機・プレッシャー、正当化)を理解することが重要です。これは、組織内で不正行為が発生する3つの要素に着目し、それらを解消する手段を考えることを意味します。
「機会」は、内部不正が発生する環境や条件を指します。アクセス制限がされていなかったり、定期的な監査が行われなかったりすると、従業員が不正行為をおこなう「機会」を作り出します。これを減らすには、アクセス権限の厳格化によって犯行を難しくする、ログの監視などによって捕まるリスクを高める、と言ったことが挙げられます。
「動機・プレッシャー」は、従業員が不正行為をおこなう原因や理由を指します。たとえば、多額のローンがある、給料が安い、人事評価が低いなどの状況があげられます。対策として、職場環境の改善によって犯行の誘因を減らす、データにアクセスするときに申請を必要とするなど犯行に手間がかかるようにする、利益を得にくくすることなどによって、犯行の見返りを減らすことが挙げられます。
「正当化」は、従業員が自分の不正行為を合理的または受け入れ可能と捉える心理的な過程を指します。「みんなこれくらいやっている」「些細なことだから許される」といった思考が該当します。これを防ぐには、誓約書を提出させるなど、犯罪の弁明をさせないことが挙げられます。
テレワークでは特に「機会」と「正当化」がオフィスにいるときより高まりやすいと感じます。自宅で仕事をしていると、情報の持ち出しなどに対する権限が緩くなったり、ログの監視が厳密にできなくなったりします。また、「みんな持ち出している」といった正当化理由を主張しやすくなってしまうのです。
テレワークを実施している企業では、オフィスに出社して仕事をしているとき以上に様々なリスクを考慮する必要があることがわかります。
まとめ
内部不正を完全に防ぐことはできませんが、そのリスクを減らすためにできることとして、技術的な対策(アクセス権限の設定やログの記録、IDの停止など)だけでなく人的な対策(セキュリティ教育の実施や誓約書の提出など)を解説しました。
「まさか自分の会社にそんな悪いことをする人はいないだろう」と考えてしまいがちですが、ランキングでも上位に入る脅威であることを忘れずに対策を実施することが求められています。
増井 敏克氏(ますい としかつ)増井技術士事務所代表。技術士(情報工学部門)、情報処理技術者試験にも多数合格。
ビジネス数学検定1級。
「ビジネス」×「数学」×「IT」を組み合わせ、コンピューターを「正しく」「効率よく」使うためのスキルアップ支援や各種ソフトウェア開発、データ分析などをおこなっている。
著書に『図解まるわかり セキュリティのしくみ』『図解まるわかり プログラミングのしくみ』『図解まるわかり アルゴリズムのしくみ』『IT用語図鑑』『IT用語図鑑[エンジニア編]』『Pythonではじめるアルゴリズム入門』『プログラマ脳を鍛える数学パズル』『プログラマを育てる脳トレパズル』(以上、翔泳社)、『プログラマのためのディープラーニングのしくみがわかる数学入門』『プログラミング言語図鑑』(以上、ソシム)、『基礎からのプログラミングリテラシー』(技術評論社)、『RとPythonで学ぶ統計学入門』(オーム社)などがある。
