IPA、組織内部者の不正行為に関する調査レポートを公開

独立行政法人 情報処理推進機構(IPA)は7月17日、組織内部者の不正行為に関する調査レポートを公開した。

昨今、企業や組織での情報漏洩やウイルス感染といった情報セキュリティ関連の事件・事故が深刻化している。発生原因は、組織外部からの攻撃と組織内部の不正行為の大きく2つに分けられ、米Verizonの調査によると漏洩した全データのうち、内部の不正行為による漏洩はわずか3%。しかし、被害額に関する別の調査によると、外部からの攻撃の方が大きいとする回答が38%なのに対し、内部の不正行為の方が大きいとする回答が33%と同程度であることから、内部の不正行為は、発生すると大きな被害をもたらす脅威であるとしている。

今回、IPAは内部不正の実態を明らかにするべく調査を行い、その結果を公開した。この調査では、実際に内部不正調査に携わった関係者へのインタビュー調査20件と国内の判例調査10件に加え、一般企業の社員3000名と経営者・管理者110名を対象とした意識調査が実施されている。

発表内容によると、企業の経営者やシステム管理者に対して内部不正への対策を尋ねた質問では、回答の1位が「重要情報は特定の職員のみアクセスできるようになっている」で、2位は「情報システムの管理者以外に情報システムへのアクセス管理が操作できないようになっている」だったという。アクセス管理による対策が重視されているのがわかる。

一方、一般の社員に向けて内部不正対策を尋ねたアンケートでは、「社内システムの操作の証拠が残る」が1位になっている。しかし、経営者やシステム管理者に「効果的と考える現在実施中の対策」を訊いたアンケート結果では、「社内システムの操作の証拠が残る」の回答率は21項目中19位だった。IPAは「有効と考える対策において管理される側の社員と管理する側の経営者・管理者の間で意識のギャップが見られ、経営者が講じる対策は社員への抑止力として必ずしも効果的に機能していない可能性がある」と分析している。

このほか「社内システムにログインするためのIDやパスワードの管理を徹底する」は両者ともに上位に挙がっている。また、IDやパスワードの管理の甘さから内部不正が発生するケースがあることもインタビュー調査から明らかになっており、管理を徹底することが有効な対策になるという。

内部不正を行おうとする気持ちを強める要因を調べた社員向けアンケートでは、待遇面の不満に関する項目が上位3つを占めた。特に1位の「不当だと思う解雇通告を受けた」は、2位の「給与や賞与に不満がある」や、3位の「社内の人事評価に不満がある」よりも回答率が高い。

IPAはインタビュー調査の結果をもとに、「情報システムにおいて正規のアクセス権限を持つ内部者」が内部不正を行っているケースがあり、社員と管理する側の経営者・管理者の間にある意識のギャップを踏まえ、適切な配慮や対策をとることが必要」であるとし、「内部不正の対策として、技術面としては社員に不正の証拠が記録されていると通知すること、運用面としては、適切なアクセス権限を設定することがそれぞれ有効だと考えられる」と見解を述べている。

同調査のレポートの全文は約100ページで、IPAのWebサイトからダウンロードできる。

なおIPAは今後、経営者やシステム管理者を対象とした「組織における内部不正防止ガイドライン」を2012年度中に作成し、公開する予定。