2019/12/16

「情報セキュリティ10大脅威2019」を読み解く(5) 内部不正による情報漏えい

  • このエントリーをはてなブックマークに追加

「情報セキュリティ10大脅威 2019」は、独立行政法人 情報処理推進機構(以下 IPA)が選出した2018年において社会的な影響が大きかったと考えられる情報セキュリティ上の脅威について、情報セキュリティ分野の研究者、企業の実務担当者など約120名で構成される「10大脅威選考会」が審議・投票し、「個人」「組織」における脅威を1位から10位まで順位づけしています。


情報セキュリティ10大脅威2019(組織編)
※NEW はじめてランクインした脅威

情報セキュリティ10大脅威2019 組織編ランキング

本コラムでは、「情報セキュリティ10大脅威 2019」の組織部門で5位にランキングされた、「内部不正による情報漏洩」についてご紹介します。

内部不正による情報漏洩とは?

独立行政法人 情報処理推進機構(IPA)が発表した「セキュリティ10大脅威 2019組織編」によると「内部不正による情報漏洩」は、前年8位、一昨年5位と、毎年ランクインしている脅威となります。

内部不正による情報漏洩は、組織の従業員や元従業員等の内部関係者によって、顧客名簿や技術ノウハウ等の重要情報や、情報システム等の情報資産が外部に漏洩してしまうことをいいます。内部からの情報漏洩は、社会的信用の失墜、損害補償/賠償等、組織の事業の根幹を脅かすこともあります。

内部不正による情報漏洩の実例

2014年6月に国内大手教育事業者で発生した約3,500万人の個人情報漏洩事件は、グループ企業がシステム保守を再委託した会社に勤める派遣社員のシステムエンジニアによって引き起こされました。その派遣社員は個人のスマートフォン経由でデータを20回以上持ち出し、名簿業者へデータを売却しました。事件の影響は、会員に対する図書カード等のお詫びに関わる費用として260億円の特別損失を出しただけでなく、同社の会員が数年間に渡って大幅に減少し、経営陣も引責辞任する等、同社のビジネスに大きな影響を与えました。

2018年3月にはITコンサル大手A社の元執行役員が同業他社B社に転職した際に、人材の引き抜き目的で従業員名簿、顧客向けの金融システム提案書や見積書などの営業秘密を不正に持ち出し、B社に開示したことで逮捕されました。この際、元執行役員はA社に籍を残したままB社に二重雇用されている状態を悪用し、A社のシステムにアクセスして営業秘密を窃取していました。

不正のトライアングル

人はどうして不正をするのでしょうか?米国の犯罪学者ドナルド・R・クレッシーは犯罪者への調査をもとに、不正行為は「動機」「機会」「正当化」の3つの要素が揃った時に発生するとした「不正のトライアングル」理論を提唱しました。(※参考1

不正のトライアングル

「動機」とは、不正行為に至るきっかけや原因を指します。
・国内大手教育事業者のケースでは、元派遣社員は逮捕当時に約170万円の借金があり、これが名簿業者に不正にデータを販売した「動機」となったと考えられます。
・ITコンサル大手A社のケースでは、競合他社への転職に当たってB社から従業員名簿を持ち出して欲しいと暗に要求があったことが「動機」の背景にあると考えられます。

「機会」とは、不正行為の実行を可能、または容易にする環境を指します。
・国内大手教育事業者のケースでは、元派遣社員は顧客情報データベースの保守・管理業務を担当しており、スマートフォンをパソコンに接続して充電しようとした際に、偶然データがスマートフォンに移せることに気づいたため「機会」が発生したと考えられます。
・ITコンサル大手F社のケースでは、元執行役員は転職に際してF社を辞めていなかったために、F社の営業秘密に業務上アクセスできる権限を持っていたことが「機会」に当たると考えられます。

「正当化」とは、自分勝手な理由づけ、他人への責任転嫁等を指します。
・国内大手教育事業者のケースでは、元派遣社員は、妻の病気等で家族名義でも借金があり、「幼い子供が2人おり、生活が苦しかった」等、家族の事情を供述もしていることが「正当化」に当たると考えられます。
・ITコンサル大手F社のケースでは、元執行役員は、自身が関与した提案書や見積書等について「自分で作成した資料なので問題ないと思った」と供述しているのが「正当化」と言えます。

内部不正の発生頻度は低いが、影響度は大きい

Ponemon Institute, LLC が日本を含む 7 カ国で実施した調査(※参考2)によると、サイバー犯罪を経験した企業の割合は「内部不正」が35%と最も低いのですが、年間平均被害額はDoS攻撃(約12.7万ドル)やWebベースの攻撃(約9.6万ドル)を抑え、内部不正(約14.5万ドル)が最も高く、またサイバー攻撃の解決に要する平均日数も内部不正が54.4日と最も長い期間がかかるという結果が出ています。

内部不正は発生頻度こそ低いのですが、内部不正者は職務上与えられた正規の権限を使い、また組織の脆弱点を予め把握してから攻撃を仕掛けてくることも多く、その対策は容易ではありません。そのため、内部不正は外部からのサイバー攻撃や不正アクセス等に比べて、事件が発生した際の影響が大きいと調査データに表れたのだと考えられます。

内部不正による情報漏洩への対策は?

内部不正対策は前述の3要因の低減が有効です。
組織側の対策としては「動機」「機会」要因を低減するために、まずは内部不正対策の体制構築や重要情報分類(営業機密)の明確化、機密情報管理のルール策定など、経営層の積極的な関与が挙げられますが、それ以外にも重要な対策ポイントが4つあります。(※補足1


1.退職者管理
競合他社からのヘッドハンティング、組織に不満を持っての退職など、営業秘密の漏洩は転職や契約期間の終了等の退職者経由で発生するケースが多いといわれています。退職者との秘密保持契約や誓約書提出等で「正当化」リスクを、そして退職時までに入館証や貸与携帯端末や貸与PC等の物理的な資産を返却させ「機会」リスクを軽減させることは多くの組織で実施しています。さらに「機会」リスクを軽減させるため、社内システムへのアカウント等の情報資産へのアクセス権を速やかに削除することも重要と言えます。
また、退職があらかじめ分かっている場合には、退職予定者の電子メール、USBメモリ等の外部記憶媒体へのデータコピー、紙の大量の打ち出し等の操作ログを監視することで、不正行為の抑止・検知を図ることも有効です。(※補足2

DNPが提供する退職者管理ソリューション:  
不正操作防止・ログ監査ツール 【 CWAT(シーワット)】
個人情報検知ツール【 P-PointerFileSecurity (ピーポインターファイルセキュリティ)】


2.特権ユーザー管理
重要な情報へのアクセス権を持つ従業員が不正行為を働くと重大な事故を引き起こしかねないことから、職務に応じた適切な権限の付与と定期的な権限見直しが重要となります。この際に注意すべきなのは、システムユーザー以外の特権アカウントに対し「共有アカウント」を作らないことです。「共有アカウント」が内部不正に使われると、不正操作をしたシステム管理者が特定できなくなる、あるいは特定までに時間がかかってしまう懸念があるからです。
こうした特権ユーザーを管理するためには、業務上必要最低限な人に(Need to Know)最小限の権限を付与する(Least Privilege)ことと、付与したアクセス権限を定期的に見直すことが重要です。
また、システム管理者のアクセス履歴や操作履歴をログに記録し、その記録をシステム管理者以外の人が定期的に監査することや、システム管理者が相互に監視し、不正の「機会」要因の低減を図ることも有効です。

DNPが提供する特権ユーザー管理ソリューション:  
特権ID管理 【 iDoperation(アイディオペレーション)】


3.委託先管理
システム運用を外部委託する組織の中には、委託先や、委託先の再委託先のセキュリティ体制や安全管理策、教育までチェックできていない組織は多く、前述の国内大手教育事業者の事件でも、機密エリアで再委託先の派遣社員が内部不正を行ったことから、委託元である国内大手教育事業者はその管理体制が問われました。業務委託に際して委託先組織との契約にセキュリティ関連項目を盛り込むだけでなく、例えば委託先の清掃スタッフや警備員が機密エリアまで入れてしまう可能性を考慮して、自組織のセキュリティ区画や入室権限を見直すことも重要です。

DNPが 提供する委託先管理ソリューション : 
物理セキュリティコンサルティング
オフィス・工場セキュリティ関連ソリューション


4.教育・啓蒙
内部不正は他のセキュリティとは違い、「人」が必ず関与する脅威であり、従業員教育が果たす役割は大きいといわれています。例えば内部不正が組織に与える影響、重要情報の管理方法、SNS等での情報発信のリスク等、情報の無断持ち出しが不正行為であることを周知徹底させることは非常に重要です。あわせて、社内規程による懲戒処分や、関連する法令(不正競争防止法、個人情報保護法)で、内部不正行為が社会的にも罰せられることを従業員にきちんと認識させられれば、「正当化」リスク要因を軽減させる効果も期待できます。

DNPにおいても、過去に、内部不正により個人情報が流出する事件が発生しましたが、物理メディアの持ち出し制限や入退室ゲートの設置、金属探知機によるチェック、生体認証、物理メディア制限端末の導入、ネットワーク等の完全独立等の対策を講じています。こうした対策は一時的なものではなく、現在も繰り返し、見直しを図っています。しかし内部犯行対策は、こうした技術的な仕組みをいくら徹底しても十分とは言えません。

内部犯行対策は、体制整備や技術的対策を講じることだけでなく、いかに潜在的に攻撃をしてくる「人」を減らすかも重要なのです。そのためには過去の事件事例などを含めた教育・啓蒙を通じて、情報を漏洩することは犯罪であり、企業に致命的な影響を与える可能性があることを、繰り返して従業員に教え込む等、「人」対策にも注力すべきなのです。(※補足3

DNPが提案する教育・啓蒙ソリューション:
情報セキュリティ教育



■参考
※1「組織における内部不正防止対策」独立行政法人 情報処理推進機構(IPA)
http://www.riis.or.jp/symposium19/wp-content/uploads/sites/11/4874105411851011.pdf
※2「2015 Cost of Cyber Crime Study」Ponemon Institute
http://www.cnmeonline.com/myresources/hpe/docs/HPE_SIEM_Analyst_Report_-_2015_Cost_of_Cyber_Crime_Study_-_Global.pdf
「内部不正による 情報セキュリティインシデント実態調査 -調査報告書-」 独立行政法人 情報処理推進機構(IPA)
https://www.ipa.go.jp/security/fy27/reports/insider/



■補足(根拠データ)
※1 内部不正防止対策は3要因の低減が有効。1.退職者管理 2.特権ユーザ管理 3.委託先管理 4.教育・啓蒙
https://www.ipa.go.jp/files/000047237.pdf
※2 営業秘密の漏洩は転職や契約期間の終了等の退職者経由で発生するケースが多い(平成24年度 経済産業省委託調査)
https://www.meti.go.jp/policy/economy/chizai/chiteki/pdf/houkokusho130319.pdf
※3 20141030_日経コンピュータ(64-71)【内部犯行対策、四つの新常識】



■関連記事:
「情報セキュリティ10大脅威 2019」を読み解く(1) 標的型攻撃による被害
「情報セキュリティ10大脅威 2019」を読み解く(2) ビジネスメール詐欺による被害
「情報セキュリティ10大脅威 2019」を読み解く(3) ランサムウェアによる被害
「情報セキュリティ10大脅威 2019」を読み解く(4) サプライチェーンの弱点を悪用した攻撃の高まり



■情報セキュリティコラム一覧
https://www.dnp.co.jp/biz/theme/security/index.html

人気の記事