2020/2/19

性善説の限界!?「内部不正」はなぜなくならないのか
~「人的脅威」トレンドと内部不正発生のメカニズムを探る~

  • このエントリーをはてなブックマークに追加

目次:



「人的脅威」が注目される背景

2019年12月、神奈川県庁において、ハードディスク(HDD)が不正に転売された結果、保存されていた情報が流出するという事件が発生しました。報道によればこの事件は、HDDの廃棄を委託されていた企業の作業担当者が、HDDを破壊したふりをして持ち出した可能性が高く、内部不正による情報漏えい事件としては、最近では最も大きく報道された事件の一つと言えるでしょう。

その翌月の2020年1月、情報処理推進機構(IPA)より、「情報セキュリティ10大脅威2020」が発表されました。これは2019年に発生した事件の中から、社会的に大きな影響を与えた脅威をランク付けしたものですが、組織における脅威として、人に起因する「内部不正による情報漏えい」が昨年の5位から2位に、「不注意による情報漏えい」が10位から7位にランクアップしています。
また、1位の「標的型攻撃による機密情報の窃取」、3位の「ビジネスメール詐欺による金銭被害」、5位の「ランサムウェアによる被害」についても、メール受信者の行為(メールの開封、やりとりするなど)が起点となるため、人に起因する脅威と言って良いでしょう。



「情報セキュリティ10大脅威 2020(組織編)」
https://www.ipa.go.jp/about/press/20200129.html

(「内部不正」や「不注意」、「過失」などの「人」に起因する脅威に色付けしました)





2019年6月に発表された日本ネットワークセキュリティ協会(JNSA)による「2018年情報セキュリティインシデントに関する調査報告書~個人情報漏えい編~」の、2018年の個人情報漏えいインシデントの分析結果でも、漏えい原因は「紛失・置き忘れ」、「誤操作」が50%以上を占めています。さらに「管理ミス」、「設定ミス」、「内部犯罪・内部不正行為」、「不正な情報持ち出し」、「目的外使用」を含めると70%以上となり、情報漏えいの大半が人に起因することがわかります。


「2018年の個人情報漏えいインシデントの分析結果」
https://www.jnsa.org/result/incident/2018.html

漏えい原因: 2018年単年データ(件数)



国際的なイベントが立て続けに開催されている日本では、サイバー攻撃対策に目が行きがちですが、従業員による内部不正や過失といった「人に起因するインシデント」を防ぐためのセキュリティ対策も、大きな課題です。




性善説の限界!?「内部不正」はなぜなくならないのか

情報セキュリティ10大脅威を2011年版まで遡ってみたところ、「内部不正による情報漏えい」は、ほぼ毎年トップ10入りしています。なぜ、不正はなくならないのでしょうか。

「情報セキュリティ10大脅威 2019(組織編)」
https://www.ipa.go.jp/about/press/20190130.html

「情報セキュリティ10大脅威 2018(組織編)」
https://www.ipa.go.jp/about/press/20180130.html

「情報セキュリティ10大脅威 2017(組織編)」
https://www.ipa.go.jp/about/press/20170131.html

「情報セキュリティ10大脅威 2016(組織編)」
https://www.ipa.go.jp/about/press/20160215.html

「情報セキュリティ10大脅威 2015」
https://www.ipa.go.jp/about/press/20150206.html

「2014年版 情報セキュリティ10大脅威」
https://www.ipa.go.jp/about/press/20140317.html

(「内部不正」や「不注意」、「過失」などの「人」に起因する脅威に色付けしました)




米国の犯罪学者ドナルド・R・クレッシーは、犯罪者への調査をもとに、不正行為は「動機」、「機会」、「正当化」の3つの要素 がすべて揃ったときに発生するとした「不正のトライアングル」理論を提唱しました。この理論に基づくと、3つの要素が揃わなければ内部不正は起こらない(起こりにくい)ということになります。



次に実際に起こった内部不正による情報漏えい事件を例に、「不正のトライアングル」を成立させた要素を想定し、どうすれば不正を防げたのかについて考えてみました。


例. 神奈川県HDD転売・情報流出事件(前述の事件)

事件の概要
2019年、神奈川県庁の個人情報を含む行政文書が記録されたハードディスクドライブ(以下HDD)18個がオークションサイトで転売されていたことが発覚。報道によれば、県庁が使用するサーバーのリース会社から使用済みHDDの廃棄を受託していた処理業者の元社員による不正行為でした。元社員の目的は機密情報の転売ではなく、あくまでもHDD自体の転売だった模様です。この事件によって業績が悪化した処理業者は、全従業員の10%に当たる30名を解雇し、7つある事業所のうち5つを閉鎖したと言われています。たった一人の従業員が引き起こした不祥事が、本人だけではなく同僚の職までも奪い、その家族を含む多くの人が被害を受けました。


このケースで想定される動機、機会、正当化
【動機】楽に小遣い稼ぎがしたい
【機会】廃棄予定のHDDが目の前にたくさんある、誰にも見つからず簡単に持ち出せる、ネットオークションで簡単に売れる
【正当化】どうせ廃棄するものだから、欲しがる人がいれば売っても構わない


HDDに限らず中古PCパーツがネットオークションや店頭で売買されていることは公に知られていることです。従業員が不正に持ち出して売ろうとするかもしれないという「人的脅威」を認識し、組織として何らかの対策を講じていれば、このような事件は防げたかもしれません。例えば、監視カメラの設置や廃棄対象HDDの定期的な個数点検、入退室管理などを徹底していれば、簡単に持ち出せる「機会」はなかったでしょうし、不正行為の有無を常に監視・記録していることを周知しておけば、誰にも見つからないという意識は生まれなかったのではないでしょうか。




情報セキュリティ教育で「人的脅威」を根本から防ぐ

悪意のない過失も含めて、内部不正の根本原因は「想像力の欠如」と言えるでしょう。自分の行動が及ぼす影響を正しく想像できていれば、「人に起因するインシデント」の多くは回避できるでしょう。ただし、自動車の運転と同じように、多くの場合、自分が事故の当事者とならない限り、ニュース番組で報道されるような交通事故も結局は「他人事」でしかありません。情報漏えいを起こして初めて、事の重大性に気付かされて後悔することになります。

上述の事件では、HDDには大量の機密情報が記録されている(PC上でゴミ箱を空にしただけでは情報が消滅しない)こと、つまり、廃棄前のHDDを不正に外部へ持ち出すことが機密情報の漏えいにあたることを元従業員に理解させるように教育が行われていれば良かったわけです。さらに、不正な持ち出しが発覚したら自分だけでなく同僚や会社全体にも影響が及ぶことを想像できていれば、持ち出しやネットオークションへの出品を「正当化」することができず、不正のトライアングルが成立しなかったと考えられます。

セキュリティ教育に求められるのは、従業員一人ひとりが、セキュリティリスクを認識し、会社が定めたルールを理解して、その意義に納得し行動できるようになることです。さらに、万が一、インシデント(事故や事件)が発生した場合には、会社だけではなく、自分や家族にまで影響が及ぶということを従業員一人ひとりが「自分事」として正しく想像できるように、導かなければなりません。

残念ながら、そのようなセキュリティ教育を実践できている企業は決して多いとは言えません。企業にはさまざまなカタチがあり、企業を取り巻くセキュリティ脅威も日々進化していく中、セキュリティ教育に正攻法(マニュアル)はないのです。セキュリティ教育によって最大効果を生むには、企業それぞれの事情に合わせた教育を設計することから取り組まなければなりません。

情報セキュリティ対策を行う上で、初めに取り掛からなければならないのは、守るべき情報の洗い出しとリスクアセスメント(リスクの特定・分析・評価)です。従業員教育においても、まずは情報資産にアクセスする可能性のある従業員、そして彼らに潜む「人的脅威」を可視化することが、正しい教育設計を行うための第一歩となります。



当コラムでは、「人的脅威」のトレンドと内部不正発生のメカニズム、そして、その対策としては、情報セキュリティ教育が重要であることを説明しました。
次のコラムでは、「人的脅威」に対して、「どのような情報セキュリティ教育が効果的なのか」について説明します。



■関連記事:

・人が最大の脅威!?「内部不正」を防ぐ情報セキュリティ教育とは ~「ヒトゴト」から「ジブンゴト」へのセキュリティ意識改革~



■関連ソリューション:

情報セキュリティ教育
標的型攻撃メール対応訓練サービス
情報漏えい対策システム「CWAT」

人気の記事