解説

内部不正はなぜ発生するのか? 原因と対策を解説

ソリトンシステムズ・マーケティングチーム
アイキャッチ
目次

ITを活用する企業にとってセキュリティ対策は必須です。セキュリティ上の脅威としては外部からのサイバー攻撃がわかりやすく、それを防ぐための対策が注目されがちですが、内部不正への対策も必須です。内部不正はサイバー攻撃と同様に、またはそれ以上に企業活動に大きな影響を及ぼすのです。

この記事では、内部不正の種類や原因とあわせて、具体的な対策方法を解説します。

内部不正の種類

内部不正は組織に属する従業員や関係者、委託社員が引きおこします。そういった、内部からの不適切な行為によって、顧客情報や製品情報などの機密情報が漏えいしてしまうことを内部不正と言います。

金銭目的や嫌がらせ目的で故意に情報漏えいさせることもあれば、人的ミスによって意図せず情報漏えい事故を発生させてしまう場合もあります。一般的に企業ではセキュリティに関するルールを設けますが、全ての従業員に周知徹底できていない場合も多くあります。十分にルールが知られていない・理解されていない場合にミスが発生し、情報漏えいが起こりやすくなるのです。

情報漏えいだけでなく、不正にデータを消去や破壊(改ざん)することも内部不正の一種です。外部からの攻撃だけでなく、内部不正もセキュリティ対策の一環として取り組まなければなりません。

内部不正が発生する原因

内部不正が発生する原因は、人が不正行為をする仕組みをモデル化した「不正のトライアングル」から考えるとよいでしょう。

不正のトライアングルでは、不正行為は機会・動機・正当化の3つの不正リスクが揃ったときに発生すると考えられています。

  1. 機会:不正行為の実行を可能または容易とする客観的な環境
  2. 動機:実行を必要とするための主観的な事情
  3. 正当化:実行を積極的に認める主観的な理屈や解釈

例えば、内部情報を簡単に入手できる環境、取得した情報を使って利益を得られる事情、情報を漏えいしても自身は損をしないという条件が揃ってしまうと、内部不正が発生すると考えてよいでしょう。

逆に、前述の3要素のいずれかが欠けていれば不正行為の実行にストップをかけられます。内部不正の起こる条件を意識し、それが発生しないように対策することが重要です。

内部不正の対策

不正のトライアングルから考えても、主観的・客観的な面から対策を取る必要があります。そのために重要となる対策が、人的対策と技術的対策です。両面から対策することで、内部不正の発生を抑止します。

人的対策

不正のトライアングルで言うところの動機と正当化への対策です。

従業員が不正を行う可能性を考慮し、監視していることを明確に伝え、教育を行うことが対策となります。動機に関しては多種多様であるため完全に対策することは難しいといえますが、正当化のための対策として人的対策は有効です。

会社側が内部不正を許さない姿勢を明確にし、内部不正を行うことでもたらされる従業員側のデメリットを含めてしっかりと周知していけば、どのような動機があれ正当化することは難しくなるでしょう。

また、ミスによる内部不正を防ぐためにも、セキュリティルールの周知と遵守を目的としてセキュリティ教育を実施することは大切です。

技術的対策

内部不正が発生しづらい環境を整えることも重要です。

セキュリティルールを定めても、人である限りミスが完全になくなることはありません。人的ミスをカバーするための技術的対策が必要になります。

技術的対策の例としては、アクセス制限・USBデバイスのブロック・データの持ち出し制限などが挙げられます。アクセス制限によってシステムや重要データの保存場所ごとにアクセスを制限し、特定の従業員のみがアクセスできる環境が構築します。

また、データの持ち出しは小型で使い勝手のよいUSBデバイスが利用されるケースが多くありました。そのため、現在は多くの企業で私用のUSBデバイスを禁止しています。ルールで定めるだけでなく、USBデバイスの接続を制限するソリューションを導入し、データの持ち出しを制限することも可能です。

加えて、重要データにアクセスできるシステムや保存場所へのアクセスでは、認証機能を強化できるソリューションの導入も検討するとよいでしょう。IDとパスワードのみによる認証では、外部からの攻撃よりも認証情報を入手しやすいため対策が必要です。

情報資産にアクセスする際の認証として二段階認証や電子証明書などを利用し、本人認証の機能を強化することをおすすめします。

内部不正は勤務する従業員や関係者、委託社員などにより、顧客情報や製品情報などの機密情報を故意またはミスによって漏えいしてしまうことです。企業における情報セキュリティでは、外部からの攻撃(サイバー攻撃など)を中心とした対策が取られがちですが、内部不正も企業活動に多大な影響を及ぼすため対策は必須です。

内部不正の対策としては、不正のトライアングルである機会・動機・正当化に対して、人的対策と技術的対策を組み合わせて実施することが有効です。人的対策の一環としてセキュリティルールを作成して周知・徹底したとしても、ミスが発生する可能性はあります。

そのミスをカバーする意味でも、技術的対策によって内部不正が発生しづらい環境を整え、ルールの遵守とあわせて機械的に対策することが有効です。

ソリトンシステムズ・マーケティングチーム