内部不正を防止するために企業は何を行うべきなのか

(1)

2015/2/26

株式会社日立ソリューションズハイブリットインテグレーションセンタプロダクト戦略部第２グループ

部長代理中川克幸

(2)

１. 最近のセキュリティ事件・事故

２. 経済産業省からの周知徹底要請

４. 参考になりそうなガイドライン

1

１．最近のセキュリティ事件・事故

(4)

最近のセキュリティ事件・事故

内部不正による情報漏洩の例

顧客データベースに接続し、名簿業者への販売目的で約２千万件の顧客情報を

私物のスマートフォンに転送。

社内ＰＣからサーバにアクセスし、発売前の商品販売戦略に関する情報を不正な利益を得る目的で私物のハードディスクにコピー

転職先での優位性を確保する目的で、勤務先で与えられた自らのＩＤでサーバに

アクセスし、機密情報を記録媒体に無断でコピー。転職先に提供

■内部関係者による情報窃取の場合、漏洩規模が大きくなりやすい

■狙われるのは企業の競争力に関わる重要情報でzあることが多い

■業務上与えられた権限を悪用するため、見つけにくい

■スマートフォンなど私物の記録媒体により持ち出されている

内部不正事件の特徴

3

(5)

2014年のセキュリティ十大ニュース

JNSAが「2014セキュリティ十大ニュース」を発表。

出典：http://www.jnsa.org/active/news10/

1位

9月25日ベネッセ個人情報漏洩事故の調査報告書を公表

2位

11月6日サイバーセキュリティ基本法が成立

3位

4月7日 Heartbleedなど脆弱性が多発（4,5月）

4位

8月1日オンラインバンキング不正送金の被害急増

5位

11月13日日本サイバー犯罪対策センター（JC3）設立

6位

4月4日警察庁、ビル管理システムの探索行為に注意を喚起

7位

10月1日マイナンバー制度準備進む

8位

9月3日 POSマルウェアによる5600万件のカード情報流出が発覚

9位

9月17日被害が止まらないパスワードリスト攻撃

10位

9月18日 DDoS攻撃業者を使ったオンラインゲームの業務妨害で高校生を書類送検

4

(6)

1位ベネッセ個人情報漏洩事故の調査報告書を公表

5

個人情報漏洩事故調査委員会が、事故の経緯、漏洩した個人情報件数、原因、再発防止策などをまとめ公表しました。

出典：http://itpro.nikkeibp.co.jp/atcl/news/14/092501068/

(7)

2,5位サイバーセキュリティに関する基本法や組織成立

6

サイバー戦略の基盤となる「サイバーセキュリティ基本法」が成立され、「日本サイバー犯罪対策センター（JC3）」も業務を開始しました。

出典：http://itpro.nikkeibp.co.jp/atcl/esi/14/527562/103000002/

出典：https://www.jc3.or.jp/media/pdf/pressrelease.pdf

(8)

7位マイナンバー制度準備進む

7

2016年1月より国民に一意的に個人番号を付番し、所得、納税、

社会保障に関する情報を一元的に管理される制度が始まります。

出典：http://www.cas.go.jp/jp/seisaku/bangoseido/

(9)

情報セキュリティ10大脅威 2015

IPAが2015年2月6日「情報セキュリティ10大脅威 2015」を公開。

今年は近年の情報セキュリティの重要性や変化の速さを考慮し、

順位を先行して公表（解説資料は3月に公開される予定）。

オンラインバンキングやクレジットカード情報の不正利用

1位

内部不正による情報漏えい

2位

標的型攻撃による諜報活動

3位

ウェブサービスへの不正ログイン

4位

ウェブサービスからの顧客情報の窃取

5位

ハッカー集団によるサイバーテロ

6位

ウェブサイトの改ざん

7位

インターネット基盤技術の悪用

8位

脆弱性公表に伴う攻撃の発生

9位

悪意のあるスマートフォンアプリ

10位

出典：https://www.ipa.go.jp/security/vuln/10threats2015.html

8

(10)

２．経済産業省からの周知徹底要請

(11)

経済産業省からの周知徹底要請

経済産業省が、平成26年8月18日に、経済団体に対して

個人情報保護法等の遵守に関する周知徹底を要請しました。

出典：http://www.meti.go.jp/press/2014/08/20140818001/20140818001.html

10

(12)

経済産業省からの周知徹底要請

「組織における内部不正防止ガイドライン」

（IPAより、2013年3月25日公開）

11

(13)

IPA：「組織における内部不正防止ガイドライン」を改訂平成26年9月26日に改訂し、公開されています。

出典：http://www.ipa.go.jp/about/press/20140926.html

以下の3点が強調されています。

１．経営層によるリーダーシップの強化

２．情報システム管理運用の委託における監督強化３．高度化する情報通信技術への対応

・スマートデバイス等による情報の持ち出しを抑止する対策・適切なアクセス権限の設定・管理、およびアクセスの監視・ログ活用による監視

本書は、以下のURLからダウンロードできます。

「組織における内部不正防止ガイドライン」

http://www.ipa.go.jp/files/000041054.pdf

12

(14)

「内部不正防止ガイドライン」の使い方

内部不正防止ガイドラインには、自社のセキュリティ対策を考える際の参考になる「付録」が掲載されています。

付録Ⅰ：内部不正事例集

付録Ⅱ：内部不正チェックシート

3つの事例が追加されています

。

以下を強調するチェック項目に修正されています。

１．経営層によるリーダーシップの強化

２．情報システム管理運用の委託における監督強化３．高度化する情報通信技術への対応

13

(15)

“時間がない人のための” ガイドラインの使い方

「4. 内部不正を防ぐための管理のあり

•

リスクに気付く方」

•

対策を検討する

対策を実施する継続的に見直す

「付録Ⅱ：内部不正チェックシート^{（30項目）}」

「付録Ⅰ：内部不正事例集^{（20事例）}」

・ルールを決める/見直す・周知、教育する

・必要に応じて、セキュリティツールを導入する

「1. 背景^{（3～5ページ）}」

「2. 概要^{（6～10ページ）}」

ガイドラインの概要をつかむ

•

自社の現状を知る

•

他社の事例を学ぶ

14

(16)

３．内部不正を防ぐための管理のあり方

(17)

「4. 内部不正のための管理のあり方」の内容

4-1 基本方針 4-2 資産管理 4-3 物理的管理

4-4 技術・運用管理 4-5 証拠確保

4-6 人的管理

4-7 コンプライアンス 4-8 職場環境

4-9 事後対策 4-10 組織の管理

「4. 内部不正のための管理のあり方」では、

10の観点から30項目の対策が示されています。

内部不正防止のために、特に重視したほうがよい観点です。

内部不正が発生した場合の事後の法的手続きを考慮すると、

4-2、4-6、4-7のリスクは許容しない方よいと記載されています。

（内部不正者に非があることを示すために必要な対策であるため）

16

(18)

「4-2 資産管理（秘密指定、アクセス権指定）」

企業における「資産管理」の例

情報資産目録の作成

情報の所在を確認し、情報資産目録を作成する

重要度に応じた可視化

情報を重要度に応じて格付けし、

マーク等を表示する

対策しないと

人を制限行為を制限

限られた人だけが重要情報にアクセスできるようにする

一人の管理者等に権限を集中させない

17

(19)

「4-2 資産管理（秘密指定、アクセス権指定）」

対策しないと……

情報漏洩に気付かない

情報の重要度を認識しておらず、

重要情報が漏洩しても気付かない

不正競争防止法の適用が困難に

要件を満たせず、不正競争防止法の適用が困難になる

18

(20)

【ご参考】不正競争防止法が適用されるための条件

不正競争防止法が適用されるための条件

不正競争防止法

2009年に発生した情報漏洩事件をきっかけとして、翌年一部改正。

（不正競争以外の目的でも罰することができるようになった）

③ 秘密として管理されていること

（秘密管理性）

・情報にアクセスできる者を制限すること

・情報にアクセスした者にそれが秘密であると認識できること

「営業秘密」としての要件

① 有用な営業上又は技術上の情報であること（有用性）

② 公然と知られていないこと（非公知性）

不正競争防止法が適用されるには、該当する情報が「営業秘密」として管理されている必要がある。

不正の競争の目的不正の利益を得る目的、

又は損害を与える目的

2010年改正

処罰対象

対象拡大

関係者と法的に戦うためには、企業側が秘密管理性を満たす対策を実施しておく必要が

あるが、この対策が難しい。（秘密管理性を満たしておらず、裁判で敗訴となるケースもあり）

19

(21)

「4-6 人的管理」

ルールは常時掲示

企業における「人的管理」の例

定期的な教育

例えば、こんな対策が有効

セキュリティ規程等、ルールは常に見えるように提示する

定期的なセキュリティ教育を実施する

20

(22)

「4-7 コンプライアンス」

企業における「コンプライアンス」の例

秘密保持契約書提出の義務化就業規則等に罰則規定を定める

雇用時/雇用終了時の秘密保持契約書提出を義務化する

就業規則等の規程に、

罰則規定を定めておく

対策しないと

競合会社がコピー製品を販売懲戒処分が無効に

企業秘密が競合会社に渡り、コピー製品が市場に出てしまう

従業員からの不当処分の訴えにより、

懲戒処分が無効になる

21

(23)

セキュリティツールにより管理の負荷を軽減

4-1 基本方針 4-2 資産管理 4-3 物理的管理

4-4 技術・運用管理 4-5 証拠確保

4-6 人的管理

4-7 コンプライアンス 4-8 職場環境

4-9 事後対策 4-10 組織の管理

セキュリティツールによる技術的対策により、管理負荷を

軽減できます

22

(24)

４．参考になりそうなガイドライン

(25)

2015年に予定されている法改正等

各種法改正や新たな制度の開始に合わせ、

企業は、セキュリティ対策を検討する必要があります。

24

(26)

個人情報の保護に関する法律についてのガイドライン

「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」

http://www.meti.go.jp/policy/it_policy/privacy/downloadfiles /1212guideline.pdf

平成26年12月12日に改定され、経済産業省の

「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」が改定されました。

個人情報保護法で規定された事業者の義務をより具体化・詳細化。

25

(27)

「高度標的型攻撃」対策に向けたシステム設計ガイド平成26年9月30日に、IPAの標的型攻撃対策ガイドの最新改定版が公開されました。

「『高度標的型攻撃』対策に向けたシステム設計ガイド」

https://www.ipa.go.jp/security/vuln/newattack.html

攻撃シナリオにおける攻撃段階に沿い、

多層で防御することが必要。

26

(28)

特定個人情報の適正な取扱いに関するガイドライン

平成26年12月11日に、「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」が公開されました。

「特定個人情報の適正な取扱いに関するガイドライン」

http://www.cao.go.jp/bangouseido/ppc/guideline/pdf/26121 1guideline2.pdf

・罰則規定の強化

・特定個人情報（マイナンバー）を取り扱う際の安全管理措置

主なポイント

27

(29)

END

2015/2/26

株式会社日立ソリューションズハイブリットインテグレーションセンタプロダクト戦略部第２グループ

部長代理中川克幸

内部不正を防止するために企業は何を行うべきなのか

(30)

内部不正を防止するために企業は何を行うべきなのか

2015/2/26

株式会社 日立ソリューションズ ハイブリットインテグレーションセンタ プロダクト戦略部 第２グループ

部長代理 中川 克幸

1

Contents

１．最近のセキュリティ事件・事故

顧客データベースに接続し、名簿業者への販売目的で約２千万件の顧客情報を

社内ＰＣからサーバにアクセスし、発売前の商品販売戦略に関する情報を不正な 利益を得る目的で私物のハードディスクにコピー

転職先での優位性を確保する目的で、勤務先で与えられた自らのＩＤでサーバに

3

9月25日 ベネッセ個人情報漏洩事故の調査報告書を公表

11月6日 サイバーセキュリティ基本法が成立

4月7日 Heartbleedなど脆弱性が多発（4,5月）

8月1日 オンラインバンキング不正送金の被害急増

11月13日 日本サイバー犯罪対策センター（JC3）設立

4月4日 警察庁、ビル管理システムの探索行為に注意を喚起

10月1日 マイナンバー制度準備進む

9月3日 POSマルウェアによる5600万件のカード情報流出が発覚

9月17日 被害が止まらないパスワードリスト攻撃

9月18日 DDoS攻撃業者を使ったオンラインゲームの業務妨害で高校生を書類送検

4

5

6

7

オンラインバンキングやクレジットカード情報の不正利用

内部不正による情報漏えい

標的型攻撃による諜報活動

ウェブサービスへの不正ログイン

ウェブサービスからの顧客情報の窃取

ハッカー集団によるサイバーテロ

ウェブサイトの改ざん

インターネット基盤技術の悪用

脆弱性公表に伴う攻撃の発生

悪意のあるスマートフォンアプリ

8

２．経済産業省からの周知徹底要請

10

11

http://www.ipa.go.jp/files/000041054.pdf

12

内部不正防止ガイドラインには、自社のセキュリティ対策を 考える際の参考になる「付録」が掲載されています。

付録Ⅰ：内部不正事例集

付録Ⅱ：内部不正チェックシート

3つの事例が追加されています

13

•

•

•

•

14

３．内部不正を防ぐための管理のあり方

4-1 基本方針 4-2 資産管理 4-3 物理的管理

4-4 技術・運用管理 4-5 証拠確保

4-6 人的管理

4-7 コンプライアンス 4-8 職場環境

4-9 事後対策 4-10 組織の管理

「4. 内部不正のための管理のあり方」では、

10の観点から30項目の対策が示されています。

16

17

対策しないと……

18

不正競争 防止法

③ 秘密として管理されていること

・ 情報にアクセスできる者を制限すること

・ 情報にアクセスした者にそれが秘密であると認識できること

① 有用な営業上又は技術上の情報であること （有用性）

② 公然と知られていないこと （非公知性）

処罰対象

関係者と法的に戦うためには、企業側が秘密管理性を満たす対策を実施しておく必要が

19

例えば、こんな対策が有効

20

21

22

４．参考になりそうなガイドライン

各種法改正や新たな制度の開始に合わせ、

企業は、セキュリティ対策を検討する必要があります。

24

株式会社日立ソリューションズハイブリットインテグレーションセンタプロダクト戦略部第２グループ

部長代理中川克幸

社内ＰＣからサーバにアクセスし、発売前の商品販売戦略に関する情報を不正な利益を得る目的で私物のハードディスクにコピー

9月25日ベネッセ個人情報漏洩事故の調査報告書を公表

11月6日サイバーセキュリティ基本法が成立

8月1日オンラインバンキング不正送金の被害急増

11月13日日本サイバー犯罪対策センター（JC3）設立

4月4日警察庁、ビル管理システムの探索行為に注意を喚起

10月1日マイナンバー制度準備進む

9月17日被害が止まらないパスワードリスト攻撃

内部不正防止ガイドラインには、自社のセキュリティ対策を考える際の参考になる「付録」が掲載されています。

不正競争防止法

・情報にアクセスできる者を制限すること

・情報にアクセスした者にそれが秘密であると認識できること

① 有用な営業上又は技術上の情報であること（有用性）

② 公然と知られていないこと（非公知性）

株式会社日立ソリューションズハイブリットインテグレーションセンタプロダクト戦略部第２グループ

部長代理中川克幸