[調査・レポート]

内部不正対策、システム管理者と不正経験者の認識にズレ―IPA調査

2016年3月4日(金)杉田 悟(IT Leaders編集部)

内部不正をどうすれば抑止することができるか―情報処理推進機構(IPA)が2016年3月3日に発表した「内部不正による情報セキュリティインシデント実態調査」報告書によると、内部不正を抑止するのに有効と考える対策に、経営者・システム管理者と内部不正経験者の間でずれがあることがわかった。相変わらずとどまることを知らない情報漏洩インシデント、その多くが内部不正が原因とされており、見過ごすことのできない問題だ。

 調査は、民間企業の経営層、従業員3652名、退職者、派遣社員を含む内部不正の経験者200名を対象にウェブアンケート形式で行われたもので、2012年に続いて2回目の調査となった。IPAは結果を、従業員300名以上と300名未満に分けて示しているが、ここでは便宜上300名以上の結果のみを対象に見ていく。

 はじめに断っておくが、ここで言われている「内部不正」は、悪意を持って情報を外部流出させている「犯罪性」のあるものだけではない。会社の決めたルールを守らない「軽妙なルール違反」も含まれている。実際、内部不正の内容を見てみると、66.5%が「うっかりミスや不注意によるルールや規則の違反」だった。

 悪意のある内部不正の内容は、「顧客情報等の職務で知りえた情報の持ち出し」が58.5%、「個人情報を売買するなど職務で知りえた情報の目的外利用」が40.5%、「システムの破壊・改ざん」が36.5%だった(図1)。

(図1)内部不正経験者による内部不正の詳細(出所:IPA)
拡大画像表示

 不正行為を行った理由を見てみると、58%が「うっかり」によるものだった。内訳は「ルールを知っていたが、うっかり違反した」が40.5%、「ルールを知らずに違反した」が17.5%。

 一方、42%あった故意による内部不正のうち、23%は犯罪性のない理由だった。内訳は「業務が忙しく、終わらせるために持ち出す必要があった」が16.0%、「ルールはあったが、ルール違反を繰り返している人がいたので、自分もやった」が7.0%。いずれも褒められた理由ではないが、悪意はないと判断できるものだ。

 問題は、残りの19%だ。「処遇や待遇に不満があった」(11.0%)、「企業・組織や上司などに恨みがあった」(3.0%)という理由による嫌がらせ行為が14%。「持ち出した情報や機材で転職や起業を有利にしたかった」(3.5%)、「持ち出した情報や機材を換金したかった」(1.5%)という犯罪性、事件性の高い理由もわずかながら存在した(図2)。

(図2)内部不正を行った理由(出所:IPA)
拡大画像表示

 200名の内部不正経験者に、データの持ち出し手段を聞いたところ、全体で43.6%、故意による内部不正経験者では53.0%がUSBメモリーによるものだった。情報漏洩が社会問題化するたびに、外部記憶媒体に関する利用ルールの徹底が叫ばれてきたが、未だにもっとも手軽な外部記憶媒体であるUSBメモリーが持ち出しに使われているという実態が明らかになった。

 ちなみに、全体での2位は電子メールで34.3%、3位がパソコンで25.5%、故意の内部不正経験者の2位も電子メールで28.9%、3位は紙媒体で18.8%だった(図3)。

(図3)主たる情報の持ち出し手段(出所:IPA)
拡大画像表示

 このような内部不正行為は、どうすれば抑止できるのか。経営者・システム管理者と、内部不正経験者に、それぞれ有効と考える内部不正対策を聞いている。興味深いのは、経営者・システム管理者と内部不正経験者の間に考え方のずれがあることだ。

 上位は双方とも、アクセス制限など技術的な方策が占めているが、経営者・システム管理者で12位、11位と下位だった「職務上の成果物を公開した場合の罰則規定を強化する」「管理者を増員する等、社内の監視体制を強化する」が、内部不正経験者ではそれぞれ4位、5位に位置している(図4)。この2つは、「不正行為を思い留まらせる」のに有効な対策として、経営者やシステム管理者が考えている以上に効果があることがわかった。ただし監視体制の強化についてIPAは、監視するだけでなく、監視していることを通知する必要があるとしている。

(図4)内部不正経験者と経営者・システム管理者が考える有効な内部不正対策(出所:IPA)
拡大画像表示
(図5)内部不正経験者の職務(出所:IPA)
拡大画像表示

  最後に、ぞっとする数字をお伝えする。内部不正経験者に、不正当時の職務を尋ねたところ、兼務者を合わせると実に51.0%がシステム管理者という結果が出た。そのうち、兼務が33.0%だった(図5)。IPAはこの要因について、システム管理者は社内システムに精通し、高いアクセス権限を有することが多いためだと考えている。権限の最少化・分散、作業監視といった対策が有効だとしているが、情報システム担当者にとっては頭の痛い話だ。

 悪意のある犯罪性の高い不正行為は論外だが、犯罪行為にまでは至らない「ちょっとした不正、ルール違反」は、ついついやってしまいがちだ。しかし、情報システムの場合、このちょっとした不正行為が重大な被害につながる可能性がある。「灯台下暗し」にならないよう、まずは足元から対策を見直しておく必要がある。

関連記事

内部不正対策、システム管理者と不正経験者の認識にズレ―IPA調査内部不正をどうすれば抑止することができるか―情報処理推進機構(IPA)が2016年3月3日に発表した「内部不正による情報セキュリティインシデント実態調査」報告書によると、内部不正を抑止するのに有効と考える対策に、経営者・システム管理者と内部不正経験者の間でずれがあることがわかった。相変わらずとどまることを知らない情報漏洩インシデント、その多くが内部不正が原因とされており、見過ごすことのできない問題だ。

PAGE TOP