NTT DATA

DATA INSIGHT

NTT DATAの「知見」と「先見」を社会へ届けるメディア

キーワードで探す
カテゴリで探す
サービスで探す
業種で探す
トピックで探す
キーワードで探す
カテゴリで探す
サービスで探す
業種で探す
トピックで探す
2020.9.7技術トレンド/展望

無くならない内部不正 コロナ禍の今こそ留意

組織における内部不正の脅威は、一昨年から昨年にかけて増大してきており、今年に入ってからはコロナ禍の影響から、さらに脅威が高まる可能性があります。
テレワークが一時的なものではなく、恒常的な勤務形態になることも見込んで、セキュリティルールの整備や教育・啓発の実施に加え、組織体制づくりなどが必要となります。

2020年6月10日に、東京地方裁判所で一つの判決(※1)がありました。犯人には、窃盗罪として懲役2年、執行猶予5年が下されました。
この事件は、2019年12月に発生した、本来処分するはずだった行政文書が含まれるHDDを、金銭的な目的で委託先の従業員が持ち帰り、ネットオークションを通じて転売したというものです。

内部不正という脅威の高まり

昨年は、他にもセキュリティ専門企業でも元従業員による不正行為で個人情報流出などがありました。また、情報処理推進機構(IPA)が発表した2020年7月に発表した「IPAの10大脅威2020」の「組織における脅威ランキング」(※2)では、「内部不正による情報漏えい」が企業にとっての脅威第2位となっており、昨年順位の5位から順位を伸ばしています。
さらに、2020年に入ってからも、内部情報記録したUSBメモリ外部持ち出し(※3)、個人情報の無断提供(※4)など内部犯行によるインシデント事例が発生しています。

順位「組織」向け脅威
1標的型攻撃による機密情報の窃取
2内部不正による情報漏洩
3ビジネスメール詐欺による金銭被害
4サプライチェーンの弱点を悪用した攻撃
5ランサムウェアによる被害
6予期せぬIT基盤の障害に伴う業務停止
7不注意による情報漏洩
8インターネット上のサービスからの個人情報の窃取
9IoT機器の不正利用
10サービス妨害攻撃によるサービスの停止

表1:情報セキュリティ10大脅威2020 組織向けの脅威の順位

動機や正当化の増加

内部不正の発生に関する考え方の一つに、不正のトライアングル理論(※5)があり、この理論では「動機」「機会」「正当化」の3つの要素が、内部不正の発生につながると考えられています。

今は、コロナ禍により感染拡大防止策として、外出の自粛や在宅勤務が推奨され、私たちの生活は大きく変化しました。このような変化やこの生活がいつまで続くのか見通しがもてない現状は、不安や恐れ、ストレスを感じやすくなります。(※6)

不安やおそれ、ストレスを感じやすい現状は、不正のトライアングル理論の3要素のうち、「動機」(コロナ禍による収入減、将来への不安)や、「正当化」(世界的な感染症が原因、国が助けないのが悪いなど)の要素になりえる可能性があります。

そのため、技術的なセキュリティ対策を施すなど内部不正を起こす意思を持つ人が悪意ある行動をとれない環境を構築する(「機会」を与えない)ことが、内部不正を防止するために大切です。

機会を与えない

一方、コロナ禍による在宅勤務の影響で、オフィスに出社して業務を行っているときに比べ、他の社員の目がなくなり、私物PCやHDDが存在しやすくなるなど、特に物理的なセキュリティ対策がとりにくくなっています。
加えて、アフターコロナとして、コロナが終息したとしても、テレワークなど、業務の進め方は変わる(※7)ことが想定されるため、内部不正の「機会」を与えないよう、例えば、テレワークを行う際には、データを端末に保存しない方式(※8)を選択するなど、技術的なセキュリティ対策を行うことが望まれます。

まとめ

内部不正対策の検討では、「社員に悪い人はいない」、「身内を疑うなんて」といった気持ちになる方もいます。また、社員向けの教育・啓発活動に頼っているケースもあります。
内部不正の発生を防ぐため、「動機」や「正当化」を低減する教育や啓発も大事ですが、内部不正では、「金銭」だけでなく、「不満、怨恨、道づれ」などさまざまなケースがあり、動機や正当化をなくすことは困難です。
そのため、内部不正を起こす意思を持つ人が悪意ある行動をとれないよう、スキを見せない(「機会」を与えない)ことが、内部不正を防止するために大切です。

参考

(※1)サイバーセキュリティ.com, “神奈川県HDD転売のブロードリンク元従業員、東京地方裁判所で判決”

https://cybersecurity-jp.com/news/36969 

(※2)IPA, “情報セキュリティ10大脅威 2020”

https://www.ipa.go.jp/security/vuln/10threats2020.html 

(※3)美幌町, “内部情報記録したUSBメモリ外部持ち出し、職員を懲戒処分|美幌町”

http://www.town.bihoro.hokkaido.jp/docs/2020062100010/ 

(※4)サイバーセキュリティ.com, “愛媛大学元職員が卒業生の情報を外部の議員事務所などに無断提供”

https://cybersecurity-jp.com/news/37640 

(※5)IPA, “組織における内部不正対策,”

https://www.ipa.go.jp/files/000047237.pdf 

(※6)日本予防医学協会, “コロナストレス対処の心得”

https://www.jpm1960.org/kawara/extra/post-40-1.html 

(※7)新エネルギー・産業技術総合開発機構 技術戦略研究センター, “コロナ禍後の社会変化と期待されるイノベーション像”

https://www.meti.go.jp/shingikai/sankoshin/sangyo_gijutsu/kenkyu_innovation/pdf/019_02_00.pdf 

(※8)総務省, “テレワークセキュリティガイドライン第4版”

https://www.soumu.go.jp/main_content/000545372.pdf 

お問い合わせ