内部犯行による情報漏えいを防止する効果的な手段

内部犯行による情報漏えいを防止する効果的な手段

内部犯行とは企業の従業員や関係者などの内部者が犯罪もしくは犯罪に類する行為を行うことを言います。とくに情報セキュリティに関する内部犯行は、内部者によって重要な情報を窃取・持ち出し・漏えい・消去・破壊・悪用されることを指します。

こうした内部犯行は情報に対する正規のアクセス権限を持つ人物によってなされるケースが多いのが特徴です。それだけに検知が難しく、犯行や不正を想定した対策を立てることが重要です。今回は内部犯行による情報漏えいを防止するための効果的な手段について見ていきましょう。

内部犯行の情報漏えいを起こした企業はどうなる?

内部犯行による情報漏えいが起きたという話題は、たびたびニュースで目にします。現職や退職した従業員などが業務を通じて入手した個人情報や技術情報を持ち出し、不正に利用した……といった内容が典型的なパターンです。

しかし、報道されているものはほんの氷山の一角とも言われています。内部犯行や内部不正は公表が義務付けられているわけではないため、企業は被害が顧客や取引先などに及ばなければ事件を公にしないことがあります。

むしろブランドイメージの低下を恐れて、隠される傾向が強いのが内部犯行の特徴です。しかしその場合、後に漏えいの事実が外部に知られると不祥事を隠蔽した企業としてネガティブな報道をされる可能性があります。加えて、情報漏えいの被害が大きく事態が重ければ、その責任を厳しく追求されることにもなるでしょう。その結果、企業の信用・信頼やブランドイメージが低下するだけでなく、メディア対応や再調査に追われて業務が停滞し、果ては賠償金なども発生して経営的に大きなダメージを受け、倒産に至ることもあり得ます。

内部犯行による情報漏えいを防ぐためのポイント

内部犯行対策は、外部からの攻撃を防止するための対策とは別に考える必要があります。対象は内部の従業員や関係者となるため、どうすればこうした内部の人たちによる犯罪・不正行為を行おうとする気持ちを押し止められるか、自然と互いに内部犯行を抑止し合えるような環境を構築できるかがテーマとなります。

また、外部攻撃がアプリケーションやシステム、運営するWebサイトの脆弱性を突くものだとすれば、内部犯行は内部統制の欠陥につけこむものだと言えます。内部犯行対策における考え方のポイントとしては、以下が挙げられます。

  • 実行しにくくする(重要なデータを持ち出せないなど)
  • 発覚しやすくする(操作やデータコピーのログが残るなど)
  • 教育する(倫理的に許されない行為であることをしっかり認識させるなど)
  • リスクが高いことを認知させる(リスクに見合わない行為であることを理解させる)

内部犯行の防止に効果的な手段

以上を踏まえて、内部犯行防止のための具体的な手段について見ていきましょう。

1.外部記憶装置の使用制限

USBメモリなどの外部記憶装置の使用を制限します。オフィスや特定の部屋への持ち込み禁止などの社内ルールを定めるのも効果的です。使用しようとしても認識しない設定にする方法も考えられるでしょう。外部記憶装置以外にも私物のパソコン、スマートフォンなどデータのコピーが可能な端末も同様です。またファイル共有ソフトなどのインストール、クラウドサービスなども許可のない利用は禁止すべきです。

2.アクセス制限(権限付与)

重要な情報とそうでない情報を明確に区分し、重要な情報はデータ制限をし、業務上必要なデータ以外のアクセスは禁止します。またアクセス権限を持つ人員数は最少に抑えます。とくに特権的なアクセス権限を持つIDの使い回しについては注意を払わなくてはなりません。一つのIDを複数人で使用する場合は必ず社員番号などの個人に紐付いた情報を付与し、個人が特定できるようにします。
またアクセス権限については定期的な見直しをすることも重要です。

3.退職に伴うID削除

退職者のIDについて一定期間ごとに削除するなどの運用にせず、退職後すみやかにIDとアクセス権限を削除する都度対応にします。退職前に遠隔操作ソフトのインストールをされていないかなどのチェックも必要です。

4.アクセスログの取得および監視

重要データに対するアクセスログ、パソコン利用者のアクセスログなどを取得し監視します。ログは常時チェックするとともに何か異変がないか定期的な見直しもします。

5.監視カメラの設置

重要データを扱うパソコンや部屋には監視カメラを設置するのも効果的です。部屋の出入り口にも監視カメラを設置し、入退室管理システムを導入します。また監視体制の強化に伴って、監視している旨をしっかりとアナウンスすることも重要です。

6.研修の実施

従業員を中心に情報セキュリティやコンプライアンスに関する研修を実施します。内部犯行に対し倫理的に許されない行為という認識、リスクに見合う行為ではないということを共有するのが主要な狙いです。

また社内ルールの周知も行います。その場合、正社員、契約社員、派遣社員、外部委託業者など雇用形態別にそれぞれの立場に即したルールとマニュアル作りが必要になります。

7.罰則規定

内部犯行については明確な罰則規定を設けます。戒告、譴責、減給処分、出勤停止、降格、諭旨解雇、懲戒解雇など懲戒処分を設定し、実際に厳しく適用していきます。

内部犯行による情報漏えいの防止は、外部からの攻撃への対策とは別に考え、内部犯行に特化した対策を用意する必要があります。この記事を参考に適切な防止手段を講じ、内部犯行を起こさせない環境を構築しましょう。