近年、企業や組織における情報セキュリティに対する脅威はますます深刻化しています。
特に内部不正や外部攻撃による情報漏洩が相次いで発生し、2023年には公表されている事件だけでも120件に昇ります。(サイバーセキュリティ.comより)
被害規模や影響の大きな事件として、大手通信業子会社で作業をしていた元派遣社員が顧客名簿を外部へ持ち出し・販売し、2400万円ほどの不正な利益を得ていたことから逮捕・起訴されたことはご存知の方も多いかもしれません。
また、この事件により被告となった元派遣社員だけでなく、企業側も社長の辞任や100億円規模の対策委員会を設置する事態となりました。
このような事件・事故を背景に、社会全体として情報セキュリティ対策を強化することが急務となっています。
特に、内部不正防止の観点からは、従業員による情報の不正利用を防ぐための具体的な対策が求められています。
この記事では、独立行政法人情報処理推進機構(IPA)が発行した「組織における内部不正防止のガイドライン」の概要と、有効な対策としてデバイス制御ツールについても解説します。
目次
内部不正について
内部不正防止の基本原則
IPAのガイドラインでは、状況的犯罪予防(犯罪をしにくい環境つくり)の考え方を内部不正防止に応用し、以下の5つの基本原則が示されています。
- 犯行を難しくする(やりにくくする): 対策を強化することで犯罪行為を難しくする。
- 捕まるリスクを高める(やると見つかる): 管理や監視を強化することで捕まるリスクを高める。
- 犯行の見返りを減らす(割に合わない): 標的を隠したり、排除したり、利益を得にくくすることで犯行を防ぐ。
- 犯行の誘因を減らす(その気にさせない): 犯罪を行う気持ちにさせないことで犯行を抑止する。
- 犯罪の弁明をさせない(言い訳させない): 犯行者による自らの行為の正当化理由を排除する。
内部不正のリスクとその影響
内部不正とは、従業員や関係者が組織の情報資産を不正に利用する行為を指します。
これには、機密情報の漏洩、データの改ざん、不正なアクセスなどが含まれます。
内部不正が発生すると、事業継続に対して以下のような深刻な影響を及ぼす可能性があります。
- 信用失墜
- 法的制裁
- 業務の停滞
- 経済的損失
情報漏洩事件を起こした企業として、ブランドイメージの失墜や取引の停止などの影響が考えられます。
情報漏洩事件の際に標的となる情報の多くは顧客情報など、個人情報保護法違反に問われる可能性が高い情報です。
情報漏洩事件の発生時には、原因調査やサポートセンターの設置、報告書の作成など、通常の業務とは大きく離れたリソースを必要とするため、業務の停滞が懸念されます。
上記に上げたいずれも、売上の低迷や罰金、調査・対応費用などが発生し得るため、経済的なダメ―ジも予見されます。
手段と対策
情報持ち出し手段とその対策
「組織における内部不正防止のガイドライン」では、従業員が情報を持ち出す手段として以下のような方法が挙げられています。
- 1位:53.0% USBメモリや外付けハードディスクなどの外部記憶媒体の使用
- 2位:28.9% 電子メールやファイル転送サービスを利用した送信
- 3位:18.8% 印刷物としての持ち出し
また、近年ではスマートフォンに搭載されているカメラの性能向上やAIによる画像認識・文字起こしの精度が高まったことから、写真撮影による情報の持ち出しも危惧されています。
これらの手段に対する有効な対策として、技術的な防御策を導入することが求められます。
特に、件数として1位となっているUSBメモリは利便性や携帯性から依然として脅威度が高く、デバイス制御ツールの導入が有効です。
デバイス制御ツールの重要性
デバイス制御ツールは、組織内のデバイスの使用や接続を管理・制限するためのソフトウェアです。
このツールを導入することで、デバイス間のデータやりとりによる内部不正のリスクを大幅に低減することができます。
一般的に、デバイス制御ツールには、以下のような機能が求められています。
- USBポートの制御: 外部ストレージデバイスの接続を制限し、不正なデータ持ち出しを防止
- デバイスの監視: 使用されているデバイスをリアルタイムで監視し、不正な操作を検知
- アクセス制御: デバイスごとにアクセス権限を設定し、必要最低限のアクセスのみを許可
- ログの取得: デバイスの使用履歴を記録し、万が一の不正行為発生時に迅速な対応が可能
ガイドラインにおけるデバイス制御の位置づけ
IPAのガイドラインでは、内部不正防止策として技術的対策の一環としてデバイス制御も挙げられています。
具体的な推奨事項としては以下の点が強調されています。
“個人所有のUSBメモリ等の携帯可能な記録媒体等の持込を制限します。記録媒体等の利用は会社貸与品のみとします。”
“スマートデバイス等のモバイル機器や携帯可能な USB メモリ等の外部記録媒体の利用を制限するソフトウェアを導入することで、個人の情報機器及び記録媒体による情報漏えいの対策を講じることが望まれます。”
デバイス制御ツール導入のメリット
デバイス制御ツールを導入することにより、以下のようなメリットが期待できます。
- セキュリティの向上: 内部不正のリスクを低減し、情報資産を保護
- コンプライアンス遵守: 法規制に対応し、コンプライアンスを強化
- 業務効率の向上: 利便性と不正行為の抑制を両立し、効率的かつ安心して業務に当たれる環境を整備
まとめ
デバイス制御ツールの導入は、内部不正防止のための強力な手段となります。
ラネクシーの提供する、「RunDX DeviceControl」も対策として有効な選択肢です。
USBポートの制御やデバイスの監視、アクセス制御、ログの取得など、内部不正防止に必要な機能を備え、サーバー構築不要で1台から導入できる"ちょうどよさ"が強みの製品です。
詳細については、以下のリンクからご確認いただけます。
さらに自社に適した対策方法を検討するために、IPAが配布している内部不正防止チェックシートの活用も推奨しております。
内部不正防止チェックシート
ラネクシーではチェック項目毎の対策方法などのご相談も受け付けておりますので、是非お気軽にご相談ください。
▼ この記事を書いた人
株式会社ラネクシー RunDX 担当者
20年近くにわたりデバイス制御と向き合い、活用方法を模索し続けているRunDXの製品担当。
新たな活用方法はないかどうか最新のトレンドにアンテナを張り、皆さまに役立つ情報をお届けします!