![ファイル暗号化DataClasys [データクレシス]](/wp-content/uploads/DataClasys_logo.png){kind=logo}
内部不正とは
内部不正とは、悪意のある内部関係者が意図的に情報を持ち出したり、削除したり、破壊したりすることを指します。中でも、内部不正による情報漏えいは情報処理推進機構(以下IPA)が公開している「情報セキュリティ10大脅威」に毎年のように選出されており、企業にとって大きなセキュリティリスクの一つです。
内部不正による情報漏えいの例として、転職先の競合他社への情報提供、いわゆる「手土産転職」や、産業スパイによる機密情報の持ち出しなどが挙げられます。特に近年では、転職市場の拡大や人材流動化の向上、テレワークの普及、サービスの多様化などにより、内部不正による情報漏えいが起きやすい環境が整えられつつあります。身近な例としては、持ち出しを禁止された機密情報をシャドーIT(組織内で承認されていないクラウドストレージやメールシステムなどのIT資産・サービス)を利用して自宅に送り、作業を行うなどの行為があります。このような行為もまた情報漏えいにつながる可能性があり、注意が必要です。
ネットワーク内部に脅威が潜む内部不正は、外部攻撃と比べ情報を抜き取られてしまうリスクも大きく、また企業の内情を知っているため確実に価値の高い情報を狙われてしまうといった特徴があります。自社独自のノウハウが流出してしまうことは企業に深刻な損害を与え、顧客の信頼を失わせます。内部不正への対策は、企業の存続や発展に欠かせない重要な課題となっています。
情報セキュリティ10大脅威 2023
内部不正によるセキュリティインシデントのニュースは後を絶ちません。2022年9月には「かっぱ寿司」を経営するカッパ・クリエイトの社長が、転職元の同業他社の営業秘密を不正に持ち出したとして、不正競争防止法違反の疑いで逮捕されました。また官公庁においても、同年5月には岩手県釜石市で住民基本台帳に記載された市民の個人情報が持ち出されたとして2名の職員が懲戒免職となっています。
IPAの公開する「情報セキュリティ10大脅威 2023」では、内部不正による情報漏えいが第4位に選ばれています。
| 順位 | 「組織」向け脅威 | 昨年順位 |
|---|---|---|
| 1位 | ランサムウェアによる被害 | 1位 |
| 2位 | サプライチェーンの弱点を悪用した攻撃 | 3位 |
| 3位 | 標的型攻撃による機密情報の窃取 | 2位 |
| 4位 | 内部不正による情報漏えい | 5位 |
| 5位 | テレワーク等のニューノーマルな働き方を狙った攻撃 | 4位 |
| 6位 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) | 7位 |
| 7位 | ビジネスメール詐欺による金銭被害 | 8位 |
| 8位 | 脆弱性対策情報の公開に伴う悪用増加 | 6位 |
| 9位 | 不注意による情報漏えい等の被害 | 10位 |
| 10位 | 犯罪のビジネス化(アンダーグラウンドサービス) | 圏外 |
人はなぜ不正を働く?「不正のトライアングル」理論とは
なぜこのような内部不正による漏えい事案が発生してしまうのでしょうか。アメリカの犯罪学者ドナルド・クレッシーは内部関係者が不正行為に至る要因として「動機」「正当性」「機会」の3つを挙げました。これらの要素を図式化したものを「不正のトライアングル」と呼びます。
人が不正行為を働くのはこの3つの要素が揃った時である、というのが「不正のトライアングル」の理論です。逆にこれらの要素の内1つでも排除することができれば内部不正による事案が起きにくくなると言われています。それでは、どうすればこれらの要素を排除できるのでしょうか。
- 「動機」:内部不正を行う動機の一つに人事制度や社内評価に対する不満があります。自分の仕事の価値に見合った報酬を受け取っていないと感じることは、競合他社へ転職するきっかけにもなります。これを排除するためには、やはり公平な人事評価を行うこと、上司と部下とのコミュニケーション環境を構築することが必要となります。
- 「正当化」:内部不正を正当化する余地があると心理的な抵抗がなくなり実行に移しやすくなります。これを排除するために、例えば機密情報にはマル秘マークを付けることで「機密情報だと思わなかった」という言い訳をさせないようにしたり、不正時の懲戒処分などの規定整備やNDAの提出要請などで社内規定、コンプライアンスを整備することが必要となります。
- 「機会」:不正行為を行う機会をなくし「やりにくく」することが対策となります。他の2つと比べて技術的なアプローチがし易いということもあり、まずはこの「機会」を排除することが効率的であると考えられています。「Need To Knowの原則」に則ったアクセス権の設定、操作ログなどの監視の強化などが具体策として考えられます。
内部不正対策においてDataClasysが担う役割と期待される効果
内部不正を防ぐには「動機」「正当化」「機会」の3つの要素が揃わないような対策が必要ですが、数多くの職員それぞれの状況を完全に把握することは非常に困難であるため、技術的なアプローチは不可欠です。弊社のDRM/IRMソリューション「DataClasys」はファイルを暗号化し利用権限を設定することで、内部関係者が不正行為を働く「機会」を排除することが可能となります。
常時暗号化
不正行為を行う者の中にはフォルダやシステムに対して正規のアクセス権限を持っていることも多く、平文のファイルが抜き取られてしまうリスクがあります。その点、ファイル自体が暗号化されていれば、ファイルを持ち出されても常に暗号化保護を維持しているため安心です。
操作権限の制御
ファイルを暗号化しても、暗号化を自由に解除(復号)できてしまえば意味がありません。DataClasysは職員に対して復号権限を与えず閲覧権限や更新権限だけを割り振ることができます。また、必要に応じてコピー&ペーストや印刷、スクリーンショットなどの権限も細かく制御することが可能です。
利用期限の設定
ユーザIDの利用期限を設定することで、転職先の競合他社へファイルを持ち出しても、退職後は一切ファイルにアクセスできなくすることができます。
また海外子会社や取引先にファイルを送信する際には、利用期限を設定したIDを発行することで、契約期間が切れた後も利用可能な形でファイルが残ってしまうリスクを防ぎます。
内部不正による情報漏えいへの対策ならDataClasysがおすすめ!
DataClasysはファイルを暗号化し利用権限を制御することで、内部不正を含む多くの情報漏えいリスクに対応することができるソリューションです。
DataClasys価格へのお問い合わせや製品カタログ、詳しい説明資料などが必要な場合は下記をご参照ください。
