「情報セキュリティ10大脅威」とは、IPAが毎年、前年に発生した社会的に影響が大きかったと考えられる情報セキュリティ事案から10大脅威を選出してまとめたものです。
そんな情報セキュリティ10大脅威が今年も発表されました。そこで、10大脅威を全10回に分けて一つずつご紹介していきたいと思います。10大脅威には「個人編」と「組織編」があるのですが、今回は「組織編がテーマです。
第6位 内部不正による情報漏えい
概要
内部不正による情報漏えいとはいわば、「従業者や元従業者による情報の漏えい」です。
この脅威の大きな問題点は、「内部関係者は情報にアクセスしやすい・持ち出しやすい」ということです。
外部の悪意を持った人間であれば、「認証情報を盗む」「システムの脆弱性を攻撃する」など、情報漏えいを起こすまでにもう1アクション必要になります。一方で、内部関係者は上記のようなステップを踏まなくても、本人が悪意を持った瞬間に情報漏えいを引き起こすことができてしまいます。
内部不正を起こす原因には「組織への不満」「情報漏えいを行うことにより自分に利益がある」など様々なものが存在しており、対策も多角的に行っていくことが必要です。
対策
1. 情報セキュリティ・コンプライアンス教育の徹底
内部不正が発生する原因のひとつに、「情報漏えいの影響をわかっていない」「不正を行った場合にどのような罰則があるのかわかっていない」などといった、従業者の意識が挙げられます。
そのため、まずは、情報セキュリティ上、情報漏えいという行為がどれだけ良くないことなのか、もし行った場合にはどのような処罰が下るのかといったことをしっかりと教育して、従業者のリテラシーを上げておくようにしましょう。
2. 従業者のフォロー体制の構築
内部不正をする従業者の中には、「自分への利益」ということよりも、「組織への不満」から組織にダメージを与えたかったという動機を持つ人もいます。
つまり、その不満を与えないようにできていれば内部不正自体が発生しづらくなるとも言うことができます。
そのためにも、しっかりと上長が部下を把握できる環境づくりや、相談窓口の設置、きちんとした評価制度の構築など、情報セキュリティ対策という面以外からの対策・環境づくりも大切です。
3. ログの管理
内部不正を起こさないように従業者の満足度やリテラシーを100%に維持し続けるにはどうしても限界が生じてしまうのも事実です。
そこで、情報へのアクセスログやシステムの操作ログ、外部記憶媒体の利用ログなど、様々なログを取得することで、不正の早期発見につなげ、被害を最小限に食い止めることができます。
また、ログを監視しているということを周知しておけば、不正を考えている従業者に対しての抑止力にすることもできます。
ログ管理の重要性については別途記事がありますので、ぜひご覧ください。
まとめ
今回は、「情報セキュリティ10大脅威(組織編)」の第6位をご紹介しました。
内部不正は起きないものと信じたいところではありますが、現状発生し続けていることも事実です。
起きる可能性があるということは前提としたうえで、今回ご紹介したような対策を行うことで少しでも内部不正の起きにくい、また、起きても最小限にとどめられるような組織づくりを目指してください。
次回は「第5位 ビジネスメール詐欺による金銭被害」についてご紹介します。