不正の要素から検討する内部不正対策

コラムカテゴリー：セキュリティ

■はじめに

IPA(情報処理推進機構)は、情報セキュリティ対策の普及を目的に、「情報セキュリティ10大脅威」を毎年公表しており、2024年版が1月に公表されています。
「情報セキュリティ10大脅威 2024」によると、組織向けの脅威の種類は、昨年と同様です。
順位の変動に着目すると、1位の「ランサムウェアによる被害」と2位の「サプライチェーンの弱点を悪用した攻撃」は変わっていませんが、3位の「内部不正による情報漏えい等の被害」については、昨年の4位から上がっています。
外部からの攻撃だけでなく、内部不正に対する対策も重要であることが分かります。
一方で、内部不正の難しさの1つに、適切に技術的な対策を行っていても、正規の権限を悪用されると完全には防げない点が挙げられます。
例えば、システムを管理する立場の人であれば、自身に割り当てられている管理者権限を利用して、機密情報にアクセスすることができます。
このため、内部不正を防止するには、内部不正が起きる要素を理解し、内部不正特有の対策を講じる必要があります。

■内部不正の要素を理解する

米国の犯罪学研究者であるドナルド・クレッシーが提唱した不正のトライアングル理論によると、人が不正を働くのは動機、機会、正当化の3つの要素が揃ったときとされています。
「動機」は不正行為を実行することを欲する主観的な事情、「機会」は不正行為の実行を可能または容易にする客観的な環境、「正当化」は不正行為の実行を積極的に是認する主観的な事情、を表しています。
顧客情報を持ち出し、名簿業者に販売して対価を受け取っていた内部不正を例にすると、不正の3要素は、以下のようなことが考えられます。

• 動機：給与が低く金銭的な問題を抱えている
• 機会：情報セキュリティの技術的な対策が不十分で、機密情報を容易に持ち出せる
• 正当化：会社の人事評価が不公平であることを理由に不正を正当化する

内部不正については、これらの条件を低減させることが重要ですが、動機や正当化は、個々の心理状態や主観的な判断が影響を与える要素です。
したがって、内部不正を防止するには、人の内面に作用する対策が必要であり、これは、外部からの攻撃に対する対策とは異なり、内部不正を防止する上で、特に意識すべき対策と言えます。

■内部不正防止の基本原則を理解する

内部不正対策の参考になるガイドラインは、IPAから公開されている「組織における内部不正防止ガイドライン」です。
本文だけで約100ページもありますが、まずは、以下の内部不正防止の基本原則を抑えましょう。

1. 犯行を難しくする：対策を強化することで犯罪行為を難しくする
2. 捕まるリスクを高める：管理や監視を強化することで捕まるリスクを高める
3. 犯行の見返りを減らす：標的を隠したり、排除したり、利益を得にくくすることで犯行を防ぐ
4. 犯行の誘因を減らす：犯罪を行う気持ちにさせないことで犯行を抑止する
5. 犯罪の弁明をさせない：犯行者による自らの行為の正当化理由を排除する

不正の3要素と対応させると、1・2・3は機会、4は動機、5は正当化の対策に該当すると解釈できます。

■内部不正の動機と正当化を低減する対策を検討する

「組織における内部不正防止ガイドライン」には、33の対策が示されています。
さらに、内部不正防止の基本原則と33の対策の対応付けもされています。
その中でも特に意識すべきなのは、内部不正の動機や正当化の低減であり、以下が対策の一例です。

4. 犯行の誘因を減らす(不正の動機を低減する)対策
   「公平で客観的な人事評価の整備や労働時間の適正化」などの職場環境を整備し推進する

5. 犯罪の弁明をさせない(不正の正当化を低減する)対策」
   「内部規定による懲戒手続きの策定」などのルールを整備し周知する

■内部不正の機会を低減する対策も検討する

内部不正の機会に対する検討が全く不要かというと、そうではありません。
例えば、「1.犯行を難しくする」や「3.犯行の見返りを減らす」に該当する対策に、「USBメモリなどへの書き出しを適切に制御する」が考えられます。
もし、脅威の想定が外部に限られている場合、読み込み制御のみが対策となってしまいますが、内部不正を防止するには、情報を持ち出せないように、書き出しを制御する必要があります。
また、「2.捕まるリスクを高める」に該当する「アクセスログの取得と分析」でも、分析対象が外部に限定されていると、内部不正を検知することはできません。
このように、外部からの脅威だけを想定していると、内部不正は防止できないため、ガイドラインを活用し、自社に適した対策を検討することをお勧めします。

■終わりに

内部不正に限らず、情報セキュリティのリスクを完全に排除することはできません。
しかし、セキュリティ事故が発生すると、企業経営に深刻な影響を与える可能性があります。
外部環境だけでなく、内部環境である社内の状況を考慮し、内部不正のリスクを再評価してみてはいかがでしょうか。

出典

• IPA　情報セキュリティ10大脅威 2024
  https://www.ipa.go.jp/security/10threats/10threats2024.html

• IPA　組織における内部不正防止ガイドライン
  https://www.ipa.go.jp/security/guide/insider.html

関連サービス

• セキュリティアドバイザリーサービス

 

2024年04月10日 (水)

青山システムコンサルティング株式会社

久保田一樹