他人には聞けないICTの“いま”(第13回)

起きる前に芽を摘む!内部不正とヒューマンエラー

posted by 廉 宗淳

このエントリーをはてなブックマークに追加
Evernoteに保存
印刷

 2015年10月施行のマイナンバー制度で、企業が扱う個人情報がまた増えました。これをきっかけに企業側はより一層レベルの高いセキュリティ対策を求められるようになったといえるでしょう。今まで個人情報の取り扱いの重要性をあまり考えてこなかった企業も様々なセキュリティ対策を検討・導入しはじめています。しかし、果たして対策は十分なのでしょうか?

セキュリティ対策は企業の基本となった

 マイナンバーのような非常に大切な情報が、セキュリティの網の目をくぐり、外部に漏れてしまう経路は、大きく分けると2つあります。1つは外部からのサイバー攻撃で重要情報を盗まれてしまう場合です。基本的な対策は、ウイルスやマルウェアの対策ソフトをパソコンに導入し、ネットワークを監視することになります。

 そしてもう1つは内部の人間が故意、またはうっかりミスで情報を漏らす場合です。実は、情報漏えいの約8割はこういった内部不正やヒューマンエラーなど内的要因によるものだと言われています(『2013年 情報セキュリティインシデントに関する調査報告書~個人情報漏えい編~』特定非営利活動法人日本ネットワークセキュリティ協会[JNSA])。セキュリティ対策を考えるにあたっては、まずこの部分への対応ができているかをチェックすることが肝要です。独立行政法人情報処理推進機構(IPA)が発表した『組織における内部不正防止ガイドライン』には、内部不正やヒューマンエラーの事例がまとめられていますので、今回はそれをみながら、対策を考えていくことにします。

管理体制が不十分で、内部不正が起きてしまったケース

 とある中小企業では、システム担当者が社長のパソコンの設定を変更し、社長宛のメールを勝手に自分に転送して読んでいました。また別の企業ではシステム担当者が機密情報を繰り返し持ち出して換金していました。ほかには、ノートパソコンの管理がずさんな職場で、いつの間にか何台か何者かによって売却されていました。

 これらは、セキュリティの管理体制がずさんであった、もしくは管理業務が1人の人物に集中したことで起きてしまった弊害です。負荷が集中してしまった結果、時間の経過とともに管理が甘くなっていくのは火を見るより明らかでした。できれば人員を補強し、セキュリティの業務と権限を集中させることなく分散させて、相互にチェックし合える体制を組みたいところです。

 しかし残念なことに中小企業ではなかなかそうもいきません。セキュリティにかける予算は、直接的な利益に結びつかない投資ですから、新しく人を雇って人材を育て上げるのは大変です。そんなときはセキュリティを扱う外部の専門業者の力を借りるのも、1つの手ではないでしょうか。

自宅のパソコンで会社のデータを使った仕事をするときに起きやすい弊害

 誰もがスマートフォンやノートパソコンを持つ時代。データの取り扱いには細心の注意を払っていると思いますが、そこは人間のやることですから完璧はありません。

 例えば教育機関において、先生が生徒の成績をUSBメモリで持ち出した際に盗難に遭い、生徒の情報が漏えいした事件が報告されています。同様にスマートフォンが盗まれて、自分以外の連絡先が外部に出てしまったケースもありました。物理的に機器を紛失する以外には、企業のシステム管理者の社員が、自宅で業務を行うために機密情報を持ち出し、ファイル交換ソフトをいれていた自宅のパソコンで作業を行ったところ、意図せず情報が漏れたケースがあったそうです。

 こうした問題はセキュリティ環境が整ったクラウドサービスを使うことで、解決できます。クラウドでは、インターネット上にデータを置いて、そこに自前の端末からアクセスする形をとります。個人の端末にデータが保存されていないことに加え、クラウド上のデータにアクセスするのには権限が必要であることから、情報漏えいの危険性がぐっと減らせるのです。

離職者による機密情報の持ち出し

 あまり考えたくはありませんが、離職者が会社の開発物を持ち出してしまう事例がいくつかあるようです。

 ある企業で、社員が転職先で利用する目的で、開発したデータをまとめてダウンロードした事例があります。開発物を持ち出して転職先で使ってはいけないという認識が、社員になかったことは確かに問題です。しかし、システム面で、大量のファイルのアクセスといった、通常業務とは異なる事態が起きたときに、その確認や対策が実施されていなかったのは、管理者側の落ち度といわざるをえません。

 これと似ていますが、業務提携先の元社員が退職までに、研究データを不正に持ち出し、転職先の海外企業に提供していたケースの報告もあります。どうやら待遇への不満が動機の1つであったらしいのですが、一般に退職前は、情報の持ち出しなどの内部不正が発生しやすいタイミングといわれます。記録媒体の利用制限、重要情報へのアクセス履歴の保存により、動向に注意する必要があったといえるでしょう。

 以上はつまるところ、データの所在と扱い方の問題に尽きます。クラウド化による管理や会社の機密情報を守るセキュリティを統括するようなシステムがソリューションになります。さらに後者の場合のように、自社の社員ではなく、業務委託先の人物から不正があったことを考慮すると、管理の範囲をどこまで広げるかの注意を怠らないでください。

このエントリーをはてなブックマークに追加
Evernoteに保存
印刷

連載記事一覧

廉 宗淳

廉 宗淳
【記事監修】

1962年ソウル市生まれ。イーコーポレーションドットジェーピー代表取締役社長。1997年にITコンサルティング会社、イーコーポレーションドットジェーピー(株)を設立、代表取締役に就任。青森市 情報政策調整監(CIO補佐官)、佐賀県 統括本部 情報課 情報企画監を歴任。主な著書に『電子政府のシナリオ』(時事通信社、2003年)、『行政改革に導く、電子政府・電子自治体への戦略』(時事通信社、2009年)など。

メルマガ登録


「人材不足」を働き方改革で乗り越える


教育機関向け特集


自治体向け特集

ページトップへ

あわせて読みたい

close