多くの情報資産を保有している企業にとって情報漏えいへの対策に力を入れる必要があります。
しかし、外部からの攻撃だけでなく情報漏えいの原因の多くに内部不正があり、情報漏えいに関わらず内部不正対策を行う必要があります。
内部不正による情報漏えいの例と内部不正対策の方法について確認していきましょう。
内部不正対策の必要性とは
内部不正とは、企業や会社で従業員や関係者などの内部の人物が情報漏えい、情報改ざん、情報破壊などを行う不正行為のことで、故意による行為はもちろん、意図せず引き起こしてしまった行為も含まれます。
内部不正が起きて企業の社会的信用が失墜することで業績に影響を及ぼし、最悪の場合は事業存続が困難になるケースがあります。
さらに顧客や取引先などへ損害賠償や補填などの金銭的な損失がある可能性や刑事罰の対象になる可能性があったりと企業が受ける影響は甚大なものになる場合もあるでしょう。
そのため、内部不正対策は必要があるセキュリティ対策のひとつになります。
内部不正が起こる原因
内部不正が起こる要因は、大きく人的要因と技術的要因に分類することができます。
内部不正が起きてしまう原因を確認していきましょう。
人的要因が原因で起きる内部不正
人的要因は、動機・機会・正当化の要素が揃うと発生すると言われています。
内部不正を行った動機の多くは業務過多や評価や待遇不満などの上司や会社への不満となっているため、職場環境には注意が必要です。
技術的要因が原因で起きる内部不正
データの格納先のアクセス権を正しく設定していないことで関係者が情報を持ち出すことができたり、ログ管理を行っていないことを関係者に知られることで不正の後押しになってしまっているケースです。
システム的な弱点を突いているため、人的要因の機会を与えてしまうことになります。
内部不正による情報漏えいの事例
内部不正による情報えいの事例としてどのようなものがあるのでしょうか。
内部不正による情報漏えい内容を確認していきましょう。
関係者による情報持ち出し
内部不正を行う可能性があるのは自社の従業員だけではなく、派遣や協力会社の従業員などの関係者の可能性もあります。
たとえば自社のファイルサーバーにアクセスする必要があった場合には、アクセス権を付与する必要がありますが、社外の関係者にアクセスさせるということは、アクセス先の情報を持ち出せる可能性があるということになります。
アカウント情報を第三者に共有
クラウドサービスは、時間や場所を問わずに利用できる便利なサービスですが、セキュリティ設定を正しく設定していなければ、ユーザーIDとパスワードさえわかれば本人ではなくてもログインできてしまいます。
従業員が知人に自分のアカウント情報を共有することで、知人による情報漏えいのリスクも発生してしまいます。
退職者による不正アクセス
従業員が退職した場合には迅速に各システムのアクセス権を削除しなければ、退職して部外者となった元従業員によって不正アクセスや情報漏えいが起きてしまうリスクがあります。
会社を退職する場合、会社への不満や恨みを抱えていることも多いので退職者の扱いや退職後の対応には注意が必要です。
内部不正による情報漏えい以外の事例
内部不正には、情報漏えい以外の被害を受けるケースもあります。
内部不正によって情報漏えい以外に発生するリスクを見ていきましょう。
社員情報参照によるストーカー被害
社員情報のデータベースを不正に利用して、ほかの従業員の住所などの個人情報を特定することで、ストーカー行為に利用されるケースです。
アクセス権は必要最低限にしてログ管理を徹底することが大切です。
ソフトウェアの不正利用
会社が購入しているソフトウェアを不正コピーして自宅の個人PCへインストールして利用するケースです。
ソフトウェアやライセンスの管理をきちんと行うことが重要です。
従業員によるデータ削除
会社や他の従業員への不満がたまって、困らせるために重要なデータなどを削除してしまうケースです。
取引や業務に重要なデータが突然消えてしまうことで、情報漏えいしなくても企業の信頼失墜や業績悪化への影響が懸念されます。
アクセス権やログ管理はもちろんバックアップ運用を確実に実施することが大切です。
内部不正対策:情報漏えいへの対策
内部不正による情報漏えいへの対策の内容はどのようなものなのでしょうか。
内部不正対策のなかでも情報漏えいへの対策について確認していきましょう。
従業員への定期的な教育の実施
従業員への教育を定期的に実施することで内部不正による影響や重大さなどを理解させ、どんなことがあっても内部不正を起こしてはいけないと認識させることが大切です。
内部不正が起きないようにすることはもちろん大事ですが、起こしにくい状況や理解の促進をすることも効果的です。
派遣社員や協力会社への教育
従業員への教育はもちろんですが、従業員以外による関係者の内部不正もあるため、派遣社員や協力会社の従業員への教育も同様に行いましょう。
関係性が遠いのに情報を得られる状態であると、内部不正の意識をそもそも持っていなかったり、意図的ではないにせよ内部不正といえる行為をしてしまう恐れがあるので、関係者各位への理解や協力体制を構築するように努力しましょう。
評価制度や会社ルールなどの見直し
内部不正を起こしてしまう要因で多いものとして会社や上司への不満があります。
評価制度や会社のルールなどが理不尽なものではないか、正しく運用されているかどうかの見直しを行うなど、不満を減らすことも必要です。
働いている社員が内部不正を起こしてやろうという気持ちにさせないように、健全で風通しの良い会社運営も重要になります。
入退室の記録をする
オフィスやセキュリティールームなどの入退室記録をきちんと残すことで、内部不正が起きた場合にある程度は犯人を特定できるようになります。
また、記録していると周知するだけで従業員への抑止力も期待することができます。
アクセス権の適切な設定
ファイルサーバーやシステムへのアクセス権は必要最低限に設定することは基本中の基本ですが、設定ミスや設定漏れがないように定期的にチェックするようにしましょう。
権限の範囲を適切にすることは、不正への抑止以外の部分でも必要なことです。
デバイス認証やIP認証の設定
特定の端末からしかアクセスできないようにしたり、特定のネットワークからアクセスできないようにすることで不正のリスクを軽減させることができます。
外部からや私物での不正アクセスを防ぐことは、離職者への対策や外部攻撃からの対策にもなります。
MFA認証を採用する
MFA認証は多要素認証のことで、ユーザーIDとパスワードだけではなく、複数の認証要素を要求する方式のことで、第三者による不正アクセスを防ぐことができます。
パスワードの他に、個人のデバイスに通知が行く、秘密の質問を設定するなどさまざまな要素で認証を複雑化することができます。
デバイス管理の徹底をする
業務に利用する端末やスマートフォンの利用者やデバイス情報を管理することで意図していないデバイスからのアクセスをすぐに検知できるようになります。
デバイスの管理が適切にできれば内部不正を未然に防いだり、不正後の調査をすることが簡単にできます。
ファイルの持ち出しの管理
社内のデータを外出先などに持ち出しする場合、いつだれが何のファイルをどのような用途で持ち出したかを記録する運用にすることで、内部不正のリスクを軽減させることが可能です。
また、物理的なものであれば元に戻っているかなども確認することで紛失などの抑止にもなるでしょう。
ログ管理
ログ管理を行うことで、アクセスログの記録やファイルの操作記録が残るため、万が一内部不正が発覚した場合の原因究明に役立てることが可能です。
また、ログ管理を関係者に周知することで内部不正の抑止力も期待できます。
離職者への速やかな対応
従業員が退職や協力会社の契約終了などによってアクセスする必要がなくなった場合には速やかにアカウントの削除をするようにしましょう。
いつまでもアクセスができる状態にしておくのは、仮にアクセスをしてこなかったとしても良い状態とは言えません。
内部不正対策:情報漏えい以外の対策
内部不正対策での情報漏えい以外の対策は、情報漏えいの対策と同じ対策が必要なことが多いですが、重複しない部分の対策として、バックアップを取ることが有効です。
内部不正によってデータの破壊や改ざんをされた場合に備えて、すぐに復旧できるようにバックアップ計画を策定して確実に実行しましょう。
また、バックアップは取るだけではなく、バックアップファイルの保管や復旧手順の確立をして、事前に評価もしておくことが重要です。
内部不正のリスクを削減するためにセキュアSAMBAを利用しよう
内部不正対策のひとつとしてセキュリティ性が高いオンラインストレージサービスの利用が挙げられます。
オンラインストレージサービスであるセキュアSAMBAは、アクセス権の設定はもちろん、IPアドレスや端末の制限などセキュリティ機能が豊富です。
また、不正ログイン対策としてreCAPTCHA認証や二段階認証も可能で、万が一の場合や抑止力のためのログ管理機能も備わっています。
内部不正対策として、ファイルやデータのやり取りには無料から使えるセキュアSAMBAの利用を検討してみてはいかがでしょうか。
