特集 情シス事情を知る
手薄になりがちな内部不正への対策。企業は経営課題と認識すべき
~働き方改革推進でセキュリティの重要性がますます高まる~
2017年4月
企業活動でITの利用が不可欠になる今日、企業規模の大小を問わず情報セキュリティ対策を講じていない企業はないだろう。不正侵入対策など外部からの攻撃を防ぐ対策に比べ、手薄になりがちなのが内部の不正行為だ。情報漏えい対策としてノートPCの社外持ち出しを制限する企業も少なくないが、社外で利用するスマートフォンやタブレットの管理の不手際から端末に保存された顧客情報が漏れるリスクもある。また、政府が推進する働き方改革と相まって社外で従業員が重要な情報を扱うテレワークの機会も増える中、内部からの情報漏えい対策が喫緊の課題となる。
デジタル化は情報セキュリティの落とし穴
情報漏えいの主な要因に内部の不正行為がある。金銭を目当てに顧客情報を盗み出して売却する、ライバル会社への転職時に機密情報を持ち出す、といった犯罪レベルの事件や、顧客情報の入ったノートPCやUSBメモリーの紛失、メールの誤送信など情報漏えいの原因は様々だが、重要情報が含まれる場合、その影響は大きなものとなる。
「当社は第三者に転売されて困るような機密情報はない」と考える経営者もいるかもしれない。だが、顧客・取引先の情報や開発段階の新製品情報など、社外に漏れては困る情報はあるはずだ。うっかりミスであっても取引先の情報が漏れるようなことがあれば、「情報保護が甘い企業」として取引が停止されるリスクもある。
情報の重要性が高まる中、中堅中小企業による情報漏えいのリスクも増大している。例えば、業務の効率化やオフィスの省スペース化、コスト削減などの一環として業務文書のペーパーレス化を進める企業は少なくない。取引情報などの書類をファイリングしてキャビネットに収納している場合、もし文書ファイルが許可なく持ち出されていたとしても、視覚的に気が付きやすい。だが、ペーパーレス化によって業務文書がデジタル化され、従業員がデータを不正に持ち出した場合、システムや利用者のアクセスログを常に確認していなければすぐには気付きにくい。デジタル化は情報セキュリティの「落とし穴」とも言えるのだ。
雇用形態の多様化で重要になるアクセス権限
働き方改革としてテレワークに取り組む企業も増えてきた。これまで社内で扱ってきた情報を自宅やカフェなど社外からアクセスして業務が行える利便性の半面、管理が行き届かずに重要な情報が漏れるリスクもある。例えば、カフェや公共施設などではまず情報が覗き見される危険性があるが、無料の公衆無線LANを使った場合は、通信を保護せずに社内ネットワークへ接続するとデータを盗聴されるリスクもある。「公衆無線LANのセキュリティ対策は自己責任」とわきまえ、社外からアクセスする際には、データを暗号化したり、VPNを使って通信を暗号化したりするなどの対策が求められる。
また、企業の雇用形態も多様化し、正社員、契約社員、派遣社員、委託社員など、様々な人材が混在しながらオフィスで働いている。業務委託先の従業員がスマートフォンを悪用して大量の顧客情報を盗み取った大手通信教育会社の情報漏えい事件を覚えている人は多いだろう。このような内部犯行に対しては、雇用形態や役職、部署によって、利用できる情報のアクセス制御を実施する、誰がどのシステムを使っていいのか、どのような処理・操作を認めるのかといった方針を明確化する、などの対策を社内システムの利用者全員に徹底する必要がある。
中堅中小企業の1/3が内部の不正行為を公表
外部からの攻撃はセキュリティベンダーなどが公表するケースもあるが、内部の不正行為はなかなか表沙汰にならないことが多い。IPA(情報処理推進機構)の「組織における内部不正とその対策」によれば、内部不正が公表されないことが多い要因として、被害が広がる可能性がある、不評被害が発生する恐れがある、競合他社に利用される、関係者との調整が困難など、「情報を公開したくない」という企業の心理が働いていると分析する。
また、「内部不正が発生し、企業・組織内で解決できた場合に、その詳細を外部に公開するか」との問いに対し、従業員数が300名未満の中小企業では、公開する(8.2%)、場合によっては公開する(25.3%)、場合によっては公開しない(7%)、公開しない(34.2%)となっている。こうした非公開の姿勢が企業間の情報共有を困難にしていると言える。
内部不正が発生し、企業・組織内で解決できた場合に、その詳細を外部に公開するか
出典「組織における内部不正とその対策 ~最新の実態調査より~」(IPA)
内部不正を予防する技術的・人的安全管理措置
では実際に内部不正にはどういう事案があるのだろうか。例えば事件化したものでは、家電量販店の元社員が、転職先で利用するために販売戦略に関する営業秘密を不正に取得し、不正競争防止法違反(営業秘密の不正取得)の容疑で逮捕された事案がある。
オンラインショップサービスを提供するA社では、元従業員が顧客情報及び営業データなど3万件以上の情報を無断で社外に持ち出す事件が起こった。元従業員が個人で業務を請け負っていたB社の関係者からの通報で発覚したのだ。元従業員は外付けのHDDに顧客情報などを記録し、B社から借りていたノートPCにデータを保存していたという。今回の再発防止策としてA社では、従業員教育の徹底や個人情報の管理の強化、個人情報管理システム運用の見直しなどを図るとしている。具体的には、社内の全PCのファイル操作やWebアクセスの監視、外部記録媒体の接続を制限する不正対策ツールの導入など技術的安全管理措置を実施するという。さらに、全従業員を対象とするコンプライアンス研修やセキュリティ研修などの人的安全管理措置、個人情報保護に関連する規定改善やガバナンス強化など組織的安全管理措置、私物の携帯端末や外部記録媒体のオフィスへの持ち込み禁止など、物理的安全管理措置も講じるとしている。
また、USBメモリーを紛失して顧客情報が流出するインシデントも後を絶たない。C病院では入院患者の個人情報(氏名、生年月日、病名、症状、処置内容など)が保存されたUSBメモリーを職員が院内で紛失した。病院がこの事案を公表した時点では個人情報が外部に流出したことは確認されていないという。C病院ではパスワード付きのUSBメモリーの使用を職員に徹底するなど、再発防止策を実施し、個人情報の適切な管理に務めるという。
ノートPCやUSBメモリーなどの外部記録デバイスの社外持ち出しを制限する企業もあるが、働き方改革などを背景に、社外でノートPCなどの情報端末を利用する機会が増えてくるだろう。重要な情報が格納されたノートPCやスマートフォンなどのモバイル端末を社外で利用する場合、盗難・紛失による情報漏えい対策は必ず講じる必要がある。
例えば、ノートPCなどの利用時にID、パスワードのほか、生体認証などを組み合わせて第三者に不正利用されないようにする、ノートPCのBIOSやHDDのパスワードを設定する、重要なデータは暗号化するといった対策が考えられる。また、仮想デスクトップやシンクライアントを採用する方法もある。外出先で手元にある端末を使って会社の自席PCを遠隔操作するリモートデスクトップソリューションや、タブレット端末から社内システムへの接続時にインターネットと物理的に切り離された閉域網を利用するモバイルサービスなども提供され、社外から安全に社内データを利用できる。
内部不正の防止を経営課題として捉える
内部不正の防止策の必要性は理解しても、何から手をつけていいのかわからないという企業もあるだろう。そこで、参考にしたいのがIPAの「組織における内部不正防止ガイドライン」だ。経営戦略や経営方針などに基づき、経営者が主導する「基本方針」の策定をはじめ、情報の重要度に応じた格付け区分や利用者のアクセス権の設定など「資産管理」、重要情報の盗難や不正な持ち出しを防ぐ「物理的管理」、暗号化ツールなどを使って安全にネットワークを利用する「技術・運用管理」などの対策を講じる。重要情報へのアクセス履歴や利用者の操作履歴などのログ・証跡を記録・保存する「証拠確保」、従業員への教育を通じて内部不正対策の周知徹底を図る「人的管理」、不満や不平による不正行為のリスクを低減し、公平な人事評価を整備する「職場環境」、万一の不正行為の発生した場合の「事後対策」の整備などが求められる。また、外部のセキュリティベンダーに相談し、一緒に内部犯行への対策を練っていくという手もあるだろう。
だが、いかに対策を講じても、内部の不正行為のリスクはある。だからと言って、何の対策を講じないのであれば、企業として社会的説明責任も果たせないことになる。防止策の第一歩は、必要な対策を講じた上で、「内部不正は許さない」という経営者の強い意志を社内に示すことである。
関連ソリューション
- セキュリティ対策、長時間労働抑制、コンプライアンス強化に効く企業を守るPC統合管理
「SecureSeed Plus クラウド」
「SecureSeed Plus クラウド」は、お客様の組織内にある端末のIT資産管理からセキュリティ対策(操作ログ収集と操作制御)まで一貫して行えます。 - Clovernet セキュアモバイル for タブレット