4. インタビュー調査
4.3 インタビュー調査で得られた内部不正対策の検討状況等
効果的な内部不正対策を検討するため、実際に被害を受けた企業の担当者等にインタビューを実施した。
結果を以下に報告する。
4.3.1
内部不正の概要① 情報セキュリティインシデントの発生状況
企業の担当者に対し、内部不正による情報セキュリティインシデントが発生しているか尋ねた結果を表
16
に示す。すべての調査対象者が「内部不正が発生している」と回答した。内部規程違反等の軽微なイン シデントがほとんどであるが、中には刑事事件に発展した事例を持つ企業もあった。また、実際にインシデント対応や調査・分析を行ったフォレンジック関係者等(以下、専門家)に、最近の内 部不正に関する傾向を尋ねた結果を表
17
に示す。内部不正への対応が増加傾向にあることがわかる。表
16
内部不正による情報セキュリティインシデントの発生状況○大企業の場合
・重大な事故には至っていないが、2014年度は
30
件に満たないヒヤリハット事例が発生している。メール・FAXの誤送信や郵便物の誤発送の発生頻度が高い。インシデントの記録によると、毎年、若干の減 少傾向にある。
・刑事事件に発展した事例以降、インシデントをカウントしている。(PCや
USB
メモリの紛失、USBメモリか らのウイルス感染、規程違反等の軽微なインシデントを含め)当初は月20
件程度の報告があった。その後 減少傾向にあり、現在は月1、2
件程度の報告がある。・発生したインシデントを報告させるようにしている。2014 年度に発生したインシデントのうち、機密性の高 い情報に関わるものは約
20%であった。内部不正の発生件数は少ないが、重大な損害に結びつく可能性
が高いと考えている。○中小企業の場合
・社内の内部不正はうっかりミス、棚に施錠がされていないといった軽微なもののみと把握している。
・「認められた権限を逸脱する
ID/パスワードを持っていた」、「セキュリティカードを返却しないまま退職し
た」、「現場で勝手にツールを導入していた」等の事例は頻繁に発生している。細かい事例が多数あるが、特 に代表的な傾向や典型的な事例があるわけではない。・例年
3、4
件ずつの軽微なインシデントが発生している。うっかりミス等による情報漏えい、パソコン本体や 社員証紛失等の事例が多い。表
17
最近の内部不正の傾向に関する専門家の意見・内部不正を含め情報セキュリティインシデントは全体的に増えている印象である。
・内部不正事件の中では、デバイスやネットワーク経由で情報を持ち出すケースが多い。
・内部不正の調査として、スマートフォンの解析を行うことが増えた。
・経営者や上位職者の不正を調べるケースが多い。
・外部からの指摘、内部通告、会計監査から発覚するケースが多い。
・上司や権限を持つ人物が不正行為を行うことも多い。
・金銭目的での情報漏えいが多く、入手した会社の極秘情報をマスコミ等に売ってしまう事例も多い。
・被害額ベースで考えると、サイバー攻撃よりも、内部犯行による損害は大きい。
・外部からの通報により情報漏えいが発覚するケースも多い。情報と引き換えに金銭を要求される事例もあ る。
・不正行為者はセキュリティの一番弱い点を突いて情報を持ちだそうとする。プリンタ経由の情報漏えいもそ のひとつである。中には、わからないように、重要情報のファイル名を「お花見の御連絡」等に変えているケー スもあった。
② 内部不正対策の実施状況
内部不正対策の実施状況について尋ねた結果を表
18
に示す。情報の格付け、IDやアクセス権の管理、入退室管理、ログの取得と監視に関する対策が主に実施されている。また、経営層が主導して内部不正対 策を実施している、内部不正対策の実施体制・実施方針がある、内部不正を働いた役職員に対する懲戒手 続がある、社内教育を実施しているという企業もある。一部の中小企業からは、対策を実施していない理由、
対策推進のために実施している内容が挙げられた。
表
18
内部不正対策の実施状況○大企業の場合
・経営層が主導して情報セキュリティ対策を行っている。本社及び各事業部に情報セキュリティ委員会を設 置し、情報システム対策責任者を置いている。
・漏えい防止のための原則(近づけない、触らせない、取り出せない、外に持ち出させない、持ちだしても価 値がない)に則り、対策を実施している。
・対策の陳腐化を防ぐため、社内の監査をし、PDCAサイクルを回すことで対策を強化している。
・社内の入退室は
IC
カードで管理され、3つの格付けで社員の入れるエリアを制限している。極秘エリアに は指定された社員のみ入室を許可している。・相互監視が必要な作業を指定している。この作業を行う部屋は、入退室に
2
人の認証が必要であり、監視 カメラを導入している。・通信ログを監視し、異常を検知するシステムを導入している。
・製造現場へ私物のスマートフォンを持ち込むことを禁止している。近年のウェアラブル機器の普及により、
腕時計の持ち込みも禁止している。例外として許可された区域で、会社のスマートデバイスを利用する場合
(BYOD)は
MDM
33で管理している。・インターネット上に掲載されている自社に関する情報を定期的にモニターしている。
・内部通報の体制を整備している。
・IP アドレス変更の監視や、社員のパソコンにインストールされているソフトウェアのチェックを行っている。
詳細な機能が分かると対策される恐れがあるため、使用しているソフトウェアの製品名や監視システムの詳 細は社員に教えていない。
・パソコンは会社から貸与されたものであり、中のデータはすべて会社が保有するものであるため、個人的な 権限はないという意識付けをしている。私用メールも禁止している。
・社員
ID
を用いて、社内施設の入退場管理をしている。・IPA の内部不正防止ガイドラインを参考に、動機、機会、正当化の
3
つの視点から対策を立てている。「動 機」では、ログの監視をしていることを周知している。「機会」では、社員ID
管理、アクセス権の設定、ログの 監査、USB や外部記憶媒体への書き込みの無効化等の対策を行っている。「正当化」では、教育や周知の 徹底を行っている。・インシデント管理、自己評価/監査、情報セキュリティポリシー体系、組織及び役割、情報資産の種別及び 管理、教育の
6
つを柱に、海外の事業所も含めた共通の情報セキュリティポリシーを定めている。・情報セキュリティポリシーの下に、スタンダード(標準)、プロシージャ(手続き)を定めて、セキュリティ管理を している。
・退職時に競業避止契約はしていない(外国籍の従業員が嫌がるため)が、様々な機会(誓約書を記入する 際、システム利用誓約書を記入する際、退職前の機器返却の際)で就業時に得た情報を他社で使ってはい けないことを確認している。
・退職予定者に対する対策として、退職の
1
ヶ月前から、インターネットアクセスの禁止、リモートアクセスの 禁止、ウェブメールの停止の措置が取られ、これらの記録を遡って監査している。退職予定者として社内シ ステムに登録されると、自動的に上記の制限がかかる。51
・システム利用領域の使用状況等をリアルタイムでモニタリングしている。
・許可されたオンラインストレージ以外へのファイルのアップロードは禁止している。メールにファイルを添付 して送信する場合や外部デバイスへの書き込みの際にはアラートが出る。
・年
1
回のe-learning
をはじめ、セキュリティ教育に力を入れている。システムを利用するユーザーに対して は、派遣社員や協力会社の社員も含めて、全員の受講を義務付けている。・社員にアンケートをとり、部署ごとに情報セキュリティ対策状況を評価している。
・他の企業との定期的な会合により、セキュリティに関する情報交換をしている。
・ここ
2、3
年は、従来のセキュリティ対策では業務に支障が出るようになった。セキュリティを担保しながら、IT
を活用しようという意識が高まっている。セキュリティの堅牢性と仕事の生産性・スピード感のバランスを とることが大切である。○中小企業で対策を実施していない理由
・個人情報の取り扱いについて、定期的な教育は行っていないが、入社時や退社時に情報管理についての 誓約書に署名させたり、情報管理についての冊子(「SNS に書かない、情報を持ち出さない」等)を配布して いる。退職者は誓約書を取り交わしており、これが抑止になっていると考えている。
・セキュリティの優先度は低く、「分かっているけど対応できない」状態である。人事管理の仕組みや、社内の リソース(人材)を効率的に管理する仕組みを導入することを優先したい。
○中小企業が対策推進のために実施した内容
・体制を構築するためには、社長に対してセキュリティインシデントの事例を出し、信用を失うリスクを説明す ることで、理解を得た。この方法は他の中小企業でも同様に使えるだろう。
・情報漏えいの損害賠償は社員個人に及ぶこともあるという教育を行い、互いに守り合おうという職場環境 を目指している。
・中小企業の社長は社員を疑うことに抵抗感がある傾向があり、内部不正に対する予算がつかないため、特 化した対策は行っていない。Pマーク取得や
ISMS
の一環として対策している。内部不正の経験や、教育事業者の個人情報漏えい事件といった報道による影響及び意識等の変化につ いて尋ねた結果を表
19
に示す。経験した内部不正や報道された事件を受けて対策を実施したという回答 が多い。専門家からは、マイナンバー制度やサイバー攻撃等の影響を受け、経営者や従業員の内部不正へ の意識が高まっている、相談や問い合わせが増えたという意見が多い。ただし、対策の見直しや強化の内 容等が代表的な事件に左右されているのではという指摘もある。表
19
内部不正の経験や報道による影響、意識等の変化○大企業の場合
・自社で起こった内部不正事例をきっかけに対策が強化された。
・教育事業者の顧客情報流出を受けて、現在実施している情報漏えい対策について、スマートフォンの最新 機種にデータがダウンロードされる危険があるか点検を行った。
・他人事ではないと感じた。この事件を受けて、顧客からセキュリティ管理のチェック(教育方法、物理的管 理方法等)を受けることが増えた。
・教育事業者の事件を受け、USB機器への対策を強化した。スマートフォンの充電や、小型の扇風機の使用 等、USBから電源をとることを禁じる社内ルールを作った。
○専門家の意見
・最近は、経営者の内部不正への関心が高まっており、社内の怪しい動きに対する相談が多く、相談件数は 増えている。
・教育事業者の事件以降、経営者の内部不正に対する意識が高まっており、社内の調査をどのように進める べきかの問い合わせが増えている。
・委託や派遣に対する情報管理の目が厳しくなっている。