深刻化する内部不正 ~未然に防ぐ方法とは?~
みなさんこんにちは。シーイーシーセキュリティオペレーションセンター(CEC SOC)のセキュリティアナリストです。本コラムでは、組織運営に多大な影響を及ぼす「内部不正」に焦点を当てて、現状と対策を解説します。
手段が多様化する内部不正
みなさんは内部不正と聞いて、何を思い浮かべるでしょうか。
顧客情報の私的な持ち出しや社外秘情報の漏えい、勤務情報の改ざんなどが挙げられるかと思います。今日、組織が保有する情報のデジタル化に伴い、SaaSなどの情報を外部に持ち出す手段が複数存在している状況です。その結果、抜け道を把握しているシステム担当者が内部不正に手を染める一方、抜け道を把握できていない被害者(企業)が発覚に気づけないことが要因となり、内部不正増加に繋がっていると考えられます。
例えば2023年、ある大手通信企業の子会社は、テレマーケティング業務のクライアントから預かっていた約900万件の顧客情報が不正な持ち出しにより、第三者に流出したと発表しました。
この事件は、2008年から勤務し、コールセンターシステムの保守・運用業務を担当していた元派遣社員のベテランエンジニアが起こしたものです。
犯行期間は2013年から10年近くに及び、クライアントが情報流出の可能性を指摘し、ようやく発覚しました。
では、なぜこのような内部不正が起こってしまうのでしょうか。
内部不正が発生する理由
内部不正を行う理由はさまざまですが、一般的な理由としては以下のとおりです。
1.動機
経済的な利益を得るため。組織内の圧力やストレス。
例)資金を横領したり、不正な取引を行ったりすることで個人的な利益を追求する
業績目標の達成や競争の激化によるプレッシャーにより、不正行為に走る
2.機会
不正を行うための手段や環境が整っていること。
例)アクセス権の管理不足により、適切でない社員が重要情報へアクセスできる
3.正当化
個人的な欲望や野心。組織の文化や倫理観が不十分。
例)昇進や出世のために不正な手段を選ぶ
組織が不正行為を容認する風土がある
上記理由の他に、個々のケースにはさまざまな要因が絡んでいることもあります。
次に、内部不正を起こした人の属性についてです。
内部不正などの情報セキュリティポリシーが、未整備であるとされている従業員数300人以下の中小企業を対象に調査した結果が以下のグラフになります。
(対象企業37社・重複回答あり)
【出典】
内部不正による 情報セキュリティインシデント実態調査 -調査報告書-
(独立行政法人情報処理推進機構)
https://www.ipa.go.jp/archive/security/reports/economics/doe3um0000009nnx-att/000051140.pdf
上記グラフより、技術者・システム管理者は日常的に社内の情報システムに近い業務を行っていることから、機能面や制度上の抜け道に気づきやすく、本人の動機があれば不正を行えてしまう機会が揃っていると考えられます。
また、退職を決めた従業員や派遣社員は、会社への帰属意識が低く、内部不正に対する心理的ハードルが低いため、不正を起こしやすくなってしまっているのではないかと推察します。
内部不正を減らすためには
では、内部不正の対策にはどのようなものがあるでしょうか。
動機・機会・正当化を経て、生起する内部不正を未然に防ぐために、IPAでは不正防止の基本5原則を策定しています。
【やりにくくする】
対策を強化することで犯罪行為を難しくする。
【やると見つかる】
管理や監視を強化することで捕まるリスクを高める。
【割に合わない】
標的を隠したり、排除したり、利益を得にくくするすることで犯行を防ぐ。
【その気にさせない】
犯罪を行う気持ちにさせないことで犯行を抑止する。
【言い訳させない】
犯行者による自らの行為の正当化理由を排除する。
【出典】
組織における 内部不正防止ガイドライン(独立行政法人情報処理推進機構)
https://www.ipa.go.jp/security/guide/hjuojm00000055l0-att/ps6vr7000000jvcb.pdf
上記の5原則を踏まえて、定期的なカウンセリング、作業が監視されていることの周知を行う、社内教育の徹底・情報の取り扱いに対しての認識を一致させる、などのポリシーを社内で作成し、実際に作業を監視する仕組みなどを導入することで、内部不正を起こさせない環境を整備することが大切です。
また、内部不正を起こさせない環境を整備した後、以下の点を重視し、定期的に見直していく必要があります。
ポリシーの設定から長時間経っており形骸化していないか
組織に属する全員が理解できているか
現在の業務環境に即した内容になっているか
しかしながら、いくら自社内で対策を施したとしても、関連会社や取引先などのサプライチェーン上で内部不正が発生し、流出した情報が自社から提供したデータだったという事例も少なくありません。こういった事例を減らすためには、自社のセキュリティポリシーを徹底するとともに、関連会社や取引先などの企業も上記対策が施されているか、併せて確認しておくことが大切です。
まとめ
SaaSなどの情報を外部に持ち出す手段が増加したことにより、抜け道を把握しているシステム担当者が内部不正に手を染める一方、抜け道を把握できていない被害者(企業)が発覚に気づけないことが要因となり、内部不正増加に繋がっています。
意図せず行ってしまうような不正は、ルール作りや不正ができないような仕組みを導入することで「機会」を無くすことができますが、私欲や私怨といった明確な悪意を持った不正は、これらをかいくぐって目的を達成しようとします。
そのため、ルール作りや情報セキュリティシステムの導入に加えて、各個人の問題(ストレスや不満)を職場内で把握し、定期的なカウンセリングやセキュリティに関する社内教育を実施することで不正への「動機」・「正当化」を無くすことが大切です。職場と人間の両方への対策がかなってこそ内部不正は防げるのです。