近年目立つ内部不正による「情報漏えい」

企業を脅かすセキュリティーリスクといえば、「標的型攻撃」や「不正アクセス」など外部からの脅威が注目されることも多いですが、それだけではありません。内部関係者の「不正行為」による情報流出も近年多発しており、抜本的な対策が求められています。IPA（情報処理推進機構）が2016年3月に公開した調査報告書を見ると、これまでに内部不正の経験がある300名以上の企業は、8.6％にのぼります。外部攻撃を受けたとする18.5％には及びませんが、12社に1社で発生していることになります。

2014年に通信教育大手において、顧客のデータベースを保守管理するグループ会社の元従業員が、大量の顧客情報を持ち出して名簿業者へ転売した事件は、メディアにも大きく報道されました。また自治体の職員が有権者の個人情報を持ち出してレンタルサーバーに保存し、外部に流出した事件なども明らかとなっています。

しかし、このように表沙汰となった事件は「氷山の一角」に過ぎません。内部不正の事例は公表されないケースが多いのが実態だからです。先に挙げたIPAの報告書では、発生した内部不正を解決できた場合に情報を「公開する」と答えたのは、300名以上の企業でわずか21.0％です。46.0％は「場合によっては公開する」、6.8％は「場合によっては公開しない」としており、さらに8.8％は「公開しない」と回答しています。このことからも、私たちが把握しているよりかなり多くの内部不正が発生していると想像できます。

また内部者は、どんな情報に価値があり、その情報がどこに存在しているか把握しています。そのため、外部からの攻撃よりも、企業にとって価値のある情報が大量に持ち出されるリスクが高く、実際に実行されれば被害規模や被害額は甚大になります。

アカウント管理やアカウント制御だけでは対策は不十分

では、「内部不正対策」を発生させないためにはどのような対策を取ればよいでしょうか。従来から個々のアカウント管理は行われています。IPAの報告書を見ると、300名以上の企業で実施している対策で最も多かったのは「情報システムの利用者に対し、利用者IDおよびアクセス権を設定している」で64.4％。次いで「役職員の異動や退職（雇用終了）により不要となった利用者IDおよびアクセス権を速やかに削除している」が61.4％でした。

ところが、意図的な内部犯行は正当なアクセス権を持つ内部者によって行われます。つまり従来のアクセス管理やアクセス制御では、内部関係者による不正行為は防ぎきれないということです。しかも、IPAの調査では故意による内部不正が42.0％に上っています。

内部不正回避に求められる経営者のリーダーシップ