2016.06.17 (Fri)

他人には聞けないICTの“いま”（第13回）

起きる前に芽を摘む！内部不正とヒューマンエラー

posted by 廉宗淳

　2015年10月施行のマイナンバー制度で、企業が扱う個人情報がまた増えました。これをきっかけに企業側はより一層レベルの高いセキュリティ対策を求められるようになったといえるでしょう。今まで個人情報の取り扱いの重要性をあまり考えてこなかった企業も様々なセキュリティ対策を検討・導入しはじめています。しかし、果たして対策は十分なのでしょうか？

セキュリティ対策は企業の基本となった

　マイナンバーのような非常に大切な情報が、セキュリティの網の目をくぐり、外部に漏れてしまう経路は、大きく分けると2つあります。1つは外部からのサイバー攻撃で重要情報を盗まれてしまう場合です。基本的な対策は、ウイルスやマルウェアの対策ソフトをパソコンに導入し、ネットワークを監視することになります。

　そしてもう1つは内部の人間が故意、またはうっかりミスで情報を漏らす場合です。実は、情報漏えいの約8割はこういった内部不正やヒューマンエラーなど内的要因によるものだと言われています（『2013年情報セキュリティインシデントに関する調査報告書～個人情報漏えい編～』特定非営利活動法人日本ネットワークセキュリティ協会［JNSA］）。セキュリティ対策を考えるにあたっては、まずこの部分への対応ができているかをチェックすることが肝要です。独立行政法人情報処理推進機構（IPA）が発表した『組織における内部不正防止ガイドライン』には、内部不正やヒューマンエラーの事例がまとめられていますので、今回はそれをみながら、対策を考えていくことにします。

管理体制が不十分で、内部不正が起きてしまったケース

　とある中小企業では、システム担当者が社長のパソコンの設定を変更し、社長宛のメールを勝手に自分に転送して読んでいました。また別の企業ではシステム担当者が機密情報を繰り返し持ち出して換金していました。ほかには、ノートパソコンの管理がずさんな職場で、いつの間にか何台か何者かによって売却されていました。

　これらは、セキュリティの管理体制がずさんであった、もしくは管理業務が1人の人物に集中したことで起きてしまった弊害です。負荷が集中してしまった結果、時間の経過とともに管理が甘くなっていくのは火を見るより明らかでした。できれば人員を補強し、セキュリティの業務と権限を集中させることなく分散させて、相互にチェックし合える体制を組みたいところです。

　しかし残念なことに中小企業ではなかなかそうもいきません。セキュリティにかける予算は、直接的な利益に結びつかない投資ですから、新しく人を雇って人材を育て上げるのは大変です。そんなときはセキュリティを扱う外部の専門業者の力を借りるのも、1つの手ではないでしょうか。

自宅のパソコンで会社のデータを使った仕事をするときに起きやすい弊害

　誰もがスマートフォンやノートパソコンを持つ時代。データの取り扱いには細心の注意を払っていると思いますが、そこは人間のやることですから完璧はありません。

　例えば教育機関において、先生が生徒の成績をUSBメモリで持ち出した際に盗難に遭い、生徒の情報が漏えいした事件が報告されています。同様にスマートフォンが盗まれて、自分以外の連絡先が外部に出てしまったケースもありました。物理的に機器を紛失する以外には、企業のシステム管理者の社員が、自宅で業務を行うために機密情報を持ち出し、ファイル交換ソフトをいれていた自宅のパソコンで作業を行ったところ、意図せず情報が漏れたケースがあったそうです。

　こうした問題はセキュリティ環境が整ったクラウドサービスを使うことで、解決できます。クラウドでは、インターネット上にデータを置いて、そこに自前の端末からアクセスする形をとります。個人の端末にデータが保存されていないことに加え、クラウド上のデータにアクセスするのには権限が必要であることから、情報漏えいの危険性がぐっと減らせるのです。

離職者による機密情報の持ち出し

　あまり考えたくはありませんが、離職者が会社の開発物を持ち出してしまう事例がいくつかあるようです。

　ある企業で、社員が転職先で利用する目的で、開発したデータをまとめてダウンロードした事例があります。開発物を持ち出して転職先で使ってはいけないという認識が、社員になかったことは確かに問題です。しかし、システム面で、大量のファイルのアクセスといった、通常業務とは異なる事態が起きたときに、その確認や対策が実施されていなかったのは、管理者側の落ち度といわざるをえません。

　これと似ていますが、業務提携先の元社員が退職までに、研究データを不正に持ち出し、転職先の海外企業に提供していたケースの報告もあります。どうやら待遇への不満が動機の1つであったらしいのですが、一般に退職前は、情報の持ち出しなどの内部不正が発生しやすいタイミングといわれます。記録媒体の利用制限、重要情報へのアクセス履歴の保存により、動向に注意する必要があったといえるでしょう。

　以上はつまるところ、データの所在と扱い方の問題に尽きます。クラウド化による管理や会社の機密情報を守るセキュリティを統括するようなシステムがソリューションになります。さらに後者の場合のように、自社の社員ではなく、業務委託先の人物から不正があったことを考慮すると、管理の範囲をどこまで広げるかの注意を怠らないでください。

連載記事一覧

第2回ばらまき型メールによるウイルス感染に注意 2016.02.01 (Mon)
第4回どこが変わったの？いまどきの無線LAN事情（前編） 2016.02.19 (Fri)
第5回どこが変わったの？いまどきの無線LAN事情（後編） 2016.02.29 (Mon)
第8回 FAX複合機に注意！内部データが丸見えに!? 2016.04.08 (Fri)
第10回デジタルサイネージで“おもてなし”（前編） 2016.05.23 (Mon)
第11回デジタルサイネージで“おもてなし”（後編） 2016.05.30 (Mon)
第12回東大職員も騙された！心理の隙を突いたサイバー攻撃 2016.06.03 (Fri)
第13回起きる前に芽を摘む！内部不正とヒューマンエラー 2016.06.17 (Fri)
第14回せっかく育成したセキュリティ担当が、転職!? 2016.07.15 (Fri)
第15回すぐにしないと命取り!？事例で見るセキュリティ対策 2016.07.15 (Fri)
第20回社内に溜まった紙資料の問題を「電子化」で解決！ 2016.10.21 (Fri)
第22回面倒なマニュアル作成もクラウドで解決！？ 2016.10.28 (Fri)
第23回クラウド化のメリットはコスト削減だけではない！ 2016.11.29 (Tue)
第24回夜間の回線トラブルがもたらし得る大きな損害 2016.12.02 (Fri)
第25回データとIT資産の管理はアウトソーシングすべし 2017.03.06 (Mon)
第26回会話するロボットを自社スタッフとして活用する方法 2017.03.28 (Tue)
第27回システム管理者も“クラウドに置く”時代！？ 2017.04.28 (Fri)
第28回社内から「繋がらない」の声をなくす、VPNを検討してみる 2017.05.12 (Fri)
第29回ランサムウェアの脅威に備える最適な方法とは？ 2017.05.25 (Thu)
第30回社内にネットワーク管理者は不要の時代！？ 2017.05.26 (Fri)
第31回 VPNってなに？今さら聞けないVPNはじめの一歩 2018.02.22 (Thu)
第32回拠点間同士を結ぶネットワーク、今はVPNがトレンド 2018.02.23 (Fri)
第33回ネットワーク監視も24時間サービスが最適な理由 2018.02.28 (Wed)
第34回セキュリティ人材の争奪戦勃発！企業は何をすべき？ 2018.03.22 (Thu)
第35回今からでもまだ間に合う! ICT管理者探しはお早めに! 2018.03.28 (Wed)
第36回押し寄せるデータの波は、NASでは乗りこなせない! 2018.03.30 (Fri)
第37回専門知識は必要なし!今どきのホームページ制作事情 2019.01.10 (Thu)
第39回初診の「オンライン診療」解禁、対応病院は1万件に 2020.06.12 (Fri)
第40回コロナでも急成長、「サブスク」で継続利益を確保する 2020.08.05 (Wed)
第41回知らないと損！新たな顧客体験「OMO」で売上UP 2020.12.23 (Wed)
第42回こんなAI／IoTの導入は失敗する！重要なのは顧客視点 2020.12.23 (Wed)
第43回売れないスルメにも意味がある！チャンス発見学とは 2020.12.23 (Wed)
第44回離島や薬局で導入・実証進む、オンライン診療のいま 2021.02.19 (Fri)
第45回ビジネスチャット。安全・手軽なコミュニケーション 2021.04.30 (Fri)
第46回並ばず買い物OK、コロナ禍で需要伸びる無人店舗 2021.06.03 (Thu)
第47回地方創生のカギ、どこでも受講できる「ネット大学」 2021.06.03 (Thu)
第48回薬局DXのいま、ロボット活用やドローン配送なども 2021.06.15 (Tue)
第49回建設業の人件費を約4割削減も、進むi-Construction 2021.06.15 (Tue)
第50回「言葉の壁はなくなる？」NICT隅田氏に聞く 2021.07.01 (Thu)
第51回全労働人口の8割を占める、デスクレスワーカーのDX改革 2022.11.15 (Tue)
第52回高齢者のデジタルデバイド問題に立ち向かう自治体・企業のいま 2022.11.15 (Tue)
第53回 AIやビッグデータ活用も、進化し続けるデジタルサイネージ2022.12.21 (Wed)
第54回コスト削減やデータ活用に期待、電子レシートの可能性2022.12.21 (Wed)
第55回「お絵描きAI」のビジネス活用の可能性と課題とは2022.12.21 (Wed)
第56回 AI採点や新スポーツも、スポーツテックとは何か 2022.12.21 (Wed)
第59回「ベビーテック」は少子化対策の切り札になるか？2023.03.06 (Mon)
第60回研究現場もDX！ラボラトリーオートメーションとは2023.04.28 (Fri)
第61回人生100年時代のファイナンシャル・インクルージョン2023.05.16 (Tue)
第62回その通信機器、実は違法かも！？「技適マーク」の重要性2024.01.17 (Wed)
第57回 Z世代の心をつかむ「メタバース採用」とは2023.01.30 (Mon)
第58回医療・健康ビッグデータ「PHR」はビジネスチャンスとなり得るか2023.01.30 (Mon)

廉宗淳
【記事監修】

1962年ソウル市生まれ。イーコーポレーションドットジェーピー代表取締役社長。1997年にITコンサルティング会社、イーコーポレーションドットジェーピー(株)を設立、代表取締役に就任。青森市情報政策調整監（CIO補佐官）、佐賀県統括本部情報課情報企画監を歴任。主な著書に『電子政府のシナリオ』（時事通信社、2003年）、『行政改革に導く、電子政府・電子自治体への戦略』（時事通信社、2009年）など。