内部不正はなぜ発生するのか? 原因と対策を解説
ITを活用する企業にとってセキュリティ対策は必須です。セキュリティ上の脅威としては外部からのサイバー攻撃がわかりやすく、それを防ぐための対策が注目されがちですが、内部不正への対策も必須です。内部不正はサイバー攻撃と同様に、またはそれ以上に企業活動に大きな影響を及ぼすのです。
この記事では、内部不正の種類や原因とあわせて、具体的な対策方法を解説します。
内部不正の種類
内部不正は組織に属する従業員や関係者、委託社員が引きおこします。そういった、内部からの不適切な行為によって、顧客情報や製品情報などの機密情報が漏えいしてしまうことを内部不正と言います。
金銭目的や嫌がらせ目的で故意に情報漏えいさせることもあれば、人的ミスによって意図せず情報漏えい事故を発生させてしまう場合もあります。一般的に企業ではセキュリティに関するルールを設けますが、全ての従業員に周知徹底できていない場合も多くあります。十分にルールが知られていない・理解されていない場合にミスが発生し、情報漏えいが起こりやすくなるのです。
情報漏えいだけでなく、不正にデータを消去や破壊(改ざん)することも内部不正の一種です。外部からの攻撃だけでなく、内部不正もセキュリティ対策の一環として取り組まなければなりません。
内部不正が発生する原因
内部不正が発生する原因は、人が不正行為をする仕組みをモデル化した「不正のトライアングル」から考えるとよいでしょう。
不正のトライアングルでは、不正行為は機会・動機・正当化の3つの不正リスクが揃ったときに発生すると考えられています。
- 機会:不正行為の実行を可能または容易とする客観的な環境
- 動機:実行を必要とするための主観的な事情
- 正当化:実行を積極的に認める主観的な理屈や解釈
例えば、内部情報を簡単に入手できる環境、取得した情報を使って利益を得られる事情、情報を漏えいしても自身は損をしないという条件が揃ってしまうと、内部不正が発生すると考えてよいでしょう。
逆に、前述の3要素のいずれかが欠けていれば不正行為の実行にストップをかけられます。内部不正の起こる条件を意識し、それが発生しないように対策することが重要です。
内部不正の対策
不正のトライアングルから考えても、主観的・客観的な面から対策を取る必要があります。そのために重要となる対策が、人的対策と技術的対策です。両面から対策することで、内部不正の発生を抑止します。
人的対策
不正のトライアングルで言うところの動機と正当化への対策です。
従業員が不正を行う可能性を考慮し、監視していることを明確に伝え、教育を行うことが対策となります。動機に関しては多種多様であるため完全に対策することは難しいといえますが、正当化のための対策として人的対策は有効です。
会社側が内部不正を許さない姿勢を明確にし、内部不正を行うことでもたらされる従業員側のデメリットを含めてしっかりと周知していけば、どのような動機があれ正当化することは難しくなるでしょう。
また、ミスによる内部不正を防ぐためにも、セキュリティルールの周知と遵守を目的としてセキュリティ教育を実施することは大切です。
技術的対策
内部不正が発生しづらい環境を整えることも重要です。
セキュリティルールを定めても、人である限りミスが完全になくなることはありません。人的ミスをカバーするための技術的対策が必要になります。
技術的対策の例としては、アクセス制限・USBデバイスのブロック・データの持ち出し制限、PC操作ログの導入などが挙げられます。アクセス制限によってシステムや重要データの保存場所ごとにアクセスを制限し、特定の従業員のみがアクセスできる環境を構築できます。
また、ログを取得することにより、日頃から情報持ち出しの状況をモニタリングできる仕組みを作っておくことで、内部不正の抑止につなげることができます。
また、データの持ち出しは小型で使い勝手のよいUSBデバイスが利用されるケースが多くありました。そのため、現在は多くの企業で私用のUSBデバイスを禁止しています。ルールで定めるだけでなく、USBデバイスの接続を制限するソリューションを導入し、データの持ち出しを制限することも可能です。
加えて、重要データにアクセスできるシステムや保存場所へのアクセスでは、認証機能を強化できるソリューションの導入も検討するとよいでしょう。IDとパスワードのみによる認証では、外部からの攻撃よりも認証情報を入手しやすいため対策が必要です。
情報資産にアクセスする際の認証として二段階認証や電子証明書などを利用し、本人認証の機能を強化することをおすすめします。
内部不正は勤務する従業員や関係者、委託社員などにより、顧客情報や製品情報などの機密情報を故意またはミスによって漏えいしてしまうことです。企業における情報セキュリティでは、外部からの攻撃(サイバー攻撃など)を中心とした対策が取られがちですが、内部不正も企業活動に多大な影響を及ぼすため対策は必須です。
内部不正の対策としては、不正のトライアングルである機会・動機・正当化に対して、人的対策と技術的対策を組み合わせて実施することが有効です。人的対策の一環としてセキュリティルールを作成して周知・徹底したとしても、ミスが発生する可能性はあります。
そのミスをカバーする意味でも、技術的対策によって内部不正が発生しづらい環境を整え、ルールの遵守とあわせて機械的に対策することが有効です。
まとめ
IT活用が進む昨今、内部不正のリスクはより高まっています。そのため、企業業種・規模問わず、内部不正への対策は必須と言えるでしょう。本記事では、内部不正の種類や原因、対策について解説しました。内部不正を防ぐためには、人的・技術的対策の双方から対策を行うことが重要です。
この機会にセキュリティ対策の見直しを始めてみてはいかがでしょうか。
関連サービスはこちら
働き方を可視化し、セキュリティ対策・業務改善を支援するレポートサービス
Pickup ピックアップ
-
インタビュー
「切れない」VPNに認証の側面から安心をプラス|Absolute Secure Access ✕ Soliton OneGat...
-
イベント報告
【ウェビナー】知っておきたい「医療ガイドライン第6.0版」のポイントと、求められるセキュリティ対策とは?|アクシオ×ソリトンシ...
-
インタビュー
フルマネージドの連携ソリューションで快適かつ安全な無線環境を負荷なく実現|Hypersonix × Soliton OneGa...
-
インタビュー
「まずは認証から」現場の課題に寄り添い、実現可能なゼロトラストセキュリティソリューションを提案|萩原テクノソリューションズ×ソ...
-
インタビュー
新たな脅威への対応まで『任せられる』。「Prisma SASE」で、組織のセキュリティ対策をシンプルに強化|パロアルトネットワ...