内部不正はどう防げばいい?過去の事例や対策について解説
情報漏えいと聞くと、攻撃経路は外部からのサイバー攻撃をイメージしますが、実は内部からの攻撃も多く存在しています。 内部不正は、企業の信用を根幹から揺るがすため、表沙汰にならないケースも多く、事件として明るみになっているものは氷山の一角です。 本記事では、内部不正の恐ろしい実態と発生原因、対策について詳しく解説いたします。
目次
内部不正とは?
企業に勤務する従業員、関係者、または委託社員などが、故意またはミスによって、個人情報などの重要情報が流出・漏えいしてしまうことです。 広義的には、従業員や委託先などが関係する情報漏えいだけでなく、金銭の横領やセクハラ・パワハラ、SNSへ誹謗中傷の書き込み、違法残業・賃金未払いなども含みます。
自社の従業員を疑いたくないという善意から捜査が進まない、内部犯行はありえないとリスクを軽視し、問題が長期化するケースも少なくありません。 また、組織の規模が大きいほど、関与している人の数は多く、より原因究明が困難になる傾向にあります。 IPA(情報処理推進機構)が毎年調査している「情報セキュリティ10大脅威 2020」によれば、「内部不正による情報漏えい」は組織カテゴリで2位で、昨年の5位から3つ順位を上げています。
内部不正の種類
内部不正には、具体的にどのような種類があるのでしょうか。 大きく以下の4つに分類されます。
金銭の横領
代表的な手口としては、経費・売上金の着服、不正送金、書類の偽装などです。 経理など、金銭の管理を任されている担当者が直接、横領・不正会計に手を染めるパターンもあれば、上層部や外部会社と結託し行う組織的犯行のケースもあります。
最初は小さな金額でも、積み重なれば莫大な金額に膨れ上がり、企業の経営に大きな影響を与えます。 また、事件が明るみに出た場合は、企業のブランドイメージも失墜しかねません。
ハラスメント
ハラスメントは、当事者の主観に依る部分が大きく、きわめて線引が難しい事象で、なかなか表面化しない問題といえるでしょう。 セクハラ、パワハラ、モラハラといったハラスメントを放置しておけば、組織全体の士気が下がるだけでなく、離職者の増加などの原因にもなります。 ハラスメントを防ぐには、具体的なハラスメントの定義を明確にし、研修の実施や社内ガイドラインなどの整備を行うことが重要です。
労務管理違反
労務管理違反の例として、労働基準法に反する残業代・賃金未払いや長時間労働の強制などが挙げられます。 労働基準法に違反したと認められた場合、労働基準監督官による立入調査と是正報告書提出が求められます。 これを拒否した場合、悪質とみなされ、最悪の場合、書類送検に発展します。
情報流出
近年、特に多いのが内部不正による情報流出・情報漏えいです。 情報は個人情報に限らず、特許や特殊技術などの資産が競合企業にわたってしまうこともあります。 外部の人間と比べて、社内の人間には疑いの目が向けられていない分、機密情報や重要情報に容易にアクセスできるケースが多く、被害が後をたちません。 また、共犯者に上級管理者がいた場合は、犯行の痕跡を社内から消すこともできるため、発見が遅れることもあり、とくに問題視されています。
内部不正の現状・実態
内部不正の対策不備、脆弱性は日本だけでなく世界共通の課題として認識されています。
海外の状況
「2015 Vormetric insider threat report」によれば、世界のおよそ89%の企業が内部不正における脆弱性があると回答し、また、そのうち34%が「非常に高い脆弱性がある」と回答しています。 また、「Ponemon 2015 cost of cyber crime global study」の調査では、DoS攻撃、マルウェアなどをおさえ、内部不正が最も被害額が多くなっています。
海外では内部不正が発覚した場合でも内部処理で済ませるケースが多く、「2014 US State of Cybercrime Survey」によると、アメリカでは法的措置を行わずに内部で処理をしたケースがおよそ75%であったとされています。 法的措置を取らなかった理由については、「被害の程度が起訴を保証するのに十分でない」が34%、「起訴するのに証拠がない/情報が不足している」が36%、「犯人を特定できなかった」が37%となっています。
日本の状況
それでは、日本の内部不正の状況はどうなのでしょうか。
独立行政法人 情報処理推進機構(IPA)の調査によれば、従業員数300名以上の企業においては内部不正を経験したことがあると回答した割合は8.6%で、300名未満の企業では1.6%という結果が出ています。
参照:内部不正による情報セキュリティインシデント実態調査-調査報告書-
また日本は、内部不正を防ぐうえで重要になるセキュリティ人材が不足しています。 「NRI Secure Insight2018」の調査結果では、日本企業の86.9%が「人材が不足している」と回答しているのに対し、アメリカでは16.25%、イギリスでは10.6%という結果に。 海外諸国と比べてもセキュリティ人材が不足している状況が見て取れます。
内部不正が起こる原因
では、内部不正は一体どのようなメカニズムによって発生するのでしょうか?
ここでは、IPAが行った2つの調査の報告書を参考にしながら、内部不正が発生する要因について解説いたします。
参照:内部不正による情報セキュリティインシデント実態調査-調査報告書
組織内部者の不正行為によるインシデント調査 調査報告書
内部不正が発生する要因には以下の2つがあると言われています。それぞれについて詳しく説明します。
技術的要因
1つ目が、技術的要因です。 不正を起こすことが技術的に不可能なセキュリティが構築できていないケースが該当します。 具体的には、権限を持たない従業員や派遣社員、オンサイトの委託社員が重要な情報に簡単にアクセスできてしまう場合は、内部不正が起きるリスクが高いと言えます。
また、「内部不正をしても見つからない、隠すことができる環境」の場合も該当します。 エラーが吐き出されてもログなどが記録されておらず追跡できないといった状況です。 このような状況であることが従業員に認知された場合、内部不正が起こる確率が高まります。
人的要因
2つ目が、人的要因です。 組織体制や人事評価に対する従業員の不満、過剰なノルマへのプレッシャーなど、内部不正を行う動機や、不正を正当化する理由が顕在化しているケースが該当します。
IPAの調査では、内部不正の動機の約6割が「意図していない違反」であると明らかにされており、「うっかり違反した」が40.5%、「ルールを知らずに違反した」が17.5%となっています。
一方、内部不正のきっかけを作ってしまう要因として挙げられていたのが、「不当だと思う解雇通告を受けた」34.2%、「給与や賞与に不満がある」23.2%、「社内の人事評価に不満がある」22.7%と、処遇や人事評価に関する項目ほど回答数が高い傾向にありました。
このような不満が社内から聞こえてくる場合、内部不正が起こりやすくなっていると言えます。
内部不正の経路
実際の内部不正では、誰によって、どのように情報が持ち出されるのでしょうか? ここではその経路について、「内部不正を行う者」「情報を持ち出す手段」「情報をの流出先」という視点からそれぞれ解説いたします。
内部不正を行う者
内部不正を行う者は、「現職従業員のミスによる漏えい」が最も多く43.8%、続いて「中途退職者(正規社員)による漏えい」24.8%、「取引先や共同研究先を経由した漏えい」が11.4%という順で多いことがわかっています。
参照:「企業における営業秘密管理に関する実態調査」報告書について
情報を持ち出す手段
情報を持ち出す手段として最も多いのが「USBメモリ」で43.6%、他には「電子メール」34.3%、「パソコン」25.5%などがあります。
また、同調査では、「モバイル機器やUSBメモリ等の記録媒体を外部に持ち出す場合には、持ち出しを承認し記録等を管理している」に定期的に確認していると回答したのは34.8%、「スマートデバイス等のモバイル機器やUSBメモリ等の外部記録媒体の利用をソフトウェアで制限している」で32.6%と、半数以上が主だった対策を行っていないことが明らかになっています。
多くの企業でUSB等の外部記憶媒体の利用制限対策は急務と言えそうです。
参照:内部不正による情報セキュリティインシデント実態調査-調査報告書-
情報の流出先
そして情報の流出先については、「国内の競業他社」が32.4%と最も多い結果が出ています。 その他では、「外国の競合他社」が10.5%、漏えい先が特定できておらず「わからない」という回答も22.9%と高い傾向にありました。
参照:「企業における営業秘密管理に関する実態調査」報告書について
内部不正を防ぐ対策
それでは、内部不正を防ぐにはどのような対策を講じれば良いのでしょうか。 IPAが発表している「組織における内部不正防止ガイドライン」の内部不正防止の基本原則に沿って解説いたします。
対策を強化し、犯行自体を難しくする
前述した技術的要因をカバーするには、重要情報にアクセスできる人を制限するなど、根本的な対策が必要です。 アクセス制御、多要素認証、メールやインターネットの利用履歴、USBメモリ等の外部記憶媒体の利用制限に加え、入退室制限など物理的な対策を行い、内部不正が困難な環境を構築しましょう。
監視を強化する
不正を起こそうとした場合にすぐに発見できるように、監視を強化することも重要です。 入退室記録の管理、端末の持ち出し記録の徹底、アクセスログの監視が具体策として挙げられます。
また、特定の従業員に権限が集中しないよう、相互監視の体制などを構築し、権限分散させることが重要です。 特に、ログの監視については、監視していることを通知するだけで、内部不正の抑止につながります。
ログの監視であれば弊社のログ管理製品「ALogシリーズ」がおすすめです。 複数のログを自動で統一フォーマットに変換し、ログの一元管理が容易になります。 ぜひご検討ください。
標的を見つけにくくする
標的とは、不正に利用される重要情報や機密情報のことです。 この標的を意図的に隠したり、アクセス制限をかけたり、または保管している不要な記憶媒体の破棄を行うことで、内部不正の発生確率を減らすことができます。
犯行のきっかけを減らす
前述した人的要因の正当化と動機を減らすには、組織内で起こっている不和や不満を把握し、対策を考える必要があります。
人事評価や業務配分の見直し、ハラスメントに対応する相談窓口の設置、組織内・部署内のコミュニケーションの活性化を促すなど、組織が円滑に回るように対処することが重要です。
犯行を正当化する理由を排除する
300名未満の企業においては、対策の実施状況について「方針やルールはない」と回答した割合が40%を超えています。 内部不正に踏み切ってしまう要因としては、動機だけでなく、ルールの不備や抜け穴などに責任転嫁した正当化も大きく影響します。
犯行を正当化する理由をなくすには、ルールの整備や周知徹底だけでなく、秘密保持契約の締結、セキュリティ教育、コンプライアンス教育などによって内発的に責任感を生み出すことが重要です。
参照:内部不正による情報セキュリティインシデント実態調査-調査報告書-
内部不正チェックシートを活用する
IPAの「内部不正による情報セキュリティインシデント実態調査-調査報告書-」では、「内部不正チェックシート」を公表しています。 これは、内部不正を防ぐための管理のあり方をまとめた指針・チェックシートです。 これを活用することで、現在、自社が不足している内部不正対策を明らかにすることができます。
まとめ
内部不正は、単にセキュリティ対策を行うだけでは、根本的な解決にはつながりません。 動機として、「不当な解雇・不公平な人事評価」が挙げられるように、人事評価、組織体制など、より深い課題とも向き合い改善していくことが、内部不正をなくす近道なのかもしれません。