組織内部関係者による業務妨害や情報漏洩

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

組織内部関係者による業務妨害や情報漏洩

2012/08/21


 情報漏洩事件が毎日のように報道されている。外部から組織の情報を盗ろうとする「サイバー攻撃」が問題視されることが多いものの、外部からのやみくもな攻撃よりも、実は内部の関係者、しかも正当な情報アクセス権限を持った人間による意図的な流出、あるいは業務妨害行動のほうが、はるかに深刻な被害を生む可能性がある。特に雇用関係・人間関係の不満や恨みが動機になると、本当は自分の不利益になるはずのことまで実行してしまうことがある。同僚や仕事仲間を疑いたくはないが、何らかの対策を講じておかなければ企業の利益を損なうばかりか信用も失い、社会的に糾弾されかねないリスクがある。今回は、組織内部関係者による業務妨害や情報漏洩について、傾向と対策を考えていく。

情報漏洩

明らかになった「内部犯行」の現実

 組織内部関係者による業務妨害や情報漏洩事件は、顧客情報漏洩のように広範な影響が生じるケースのほかは、報道も公表もされないまま、会社と当事者間で処理される事例が多いことは想像に難くない。事件は起きていても、公開されるケースは非常に少ない。しかし内部関係者であればこそ、本当に機密を要する情報、すなわち漏洩させれば会社に打撃を与えられる情報について熟知しており、情報へのアクセスも容易な場合が多い。
 外部から見えにくいこうした「内部犯行」について、IPAでは「組織内部者の不正行為によるインシデント調査」を行っており、この7月に報告書をまとめた。その中では、内部者の不正行為の実例が19例、未遂が1例とり上げられた。不正行為事例には事件に関わった調査員や起業CISO、法律家などへの詳細なインタビュー調査が加えられ、不正行為の詳細分類と不正行為者の漏洩対象情報と動機が表1-1、1-2のように明らかになった。

表1 内部不正のあった事例のインタビュー調査結果(n=19)
表1 内部不正のあった事例のインタビュー調査結果(n=19)
「組織内部者の不正行為によるインシデント調査報告書」2012年7月
資料提供:IPA

 この結果から、一般社員が不正を働く場合、流出や不正利用などの対象となるのは、顧客情報、ID・パスワード、社内情報の順で多く、動機は組織や上司に対する不満と、情報を売って稼ぐ金銭目的であることがわかる。実際の事例では経済的に逼迫しての不正行為の場合もあれば、退職者の会社への恨みによる嫌がらせであることも多いようだ。
 また、システム管理者の場合は金銭目的などで顧客情報と社内情報を漏洩させた例があり、開発者の場合は会社を退職して転職や起業する場合に有利になるように、開発情報を持ち出す例が多いと見られる。
 以下では更に詳しく調査結果を見ながら、内部関係者の不正を防ぐ方法を考えてみよう。


1

内部関係者の不正の原因は?

1-1

内部関係者の不正が原因となった情報漏洩事件と背景

■被害金額約70億円の情報漏洩事件

 「内部の関係者からの情報漏洩」で思い出されるのは、2009年、旧三菱UFJ証券のシステム部元社員が顧客情報148万6651人分を不正に持ち出し、名簿業者に売却した事件だ。このうち4万9159人分の情報は回収できず、名前や住所、電話番号(自宅・携帯電話)、生年月日、職業、年収区分、勤務先名や部署名、役職などの情報が闇の中で流通し、未公開株や投資用マンションなどの執拗な勧誘、海外の宝くじに関するダイレクトメールが送られるなどの迷惑事例が起きた。元社員は逮捕、同社は金融庁の行政処分を受けることになった。この顛末でこの事件への対応による同社の損失は約70億円超にのぼるとされている。

■パートナー企業からの情報漏洩事件

 また、2011年にはその年2月に倒産した保険代理店を経由して、複数の保険会社とクレジット会社の合計約18万3000件超の顧客情報が名簿業者に売却される事件が起きた。顧客情報を収集・保管していた当の保険会社やクレジット会社からの直接流出でなく、パートナー業者から流出したのがこの事例の特徴だ。

■意図的な情報漏洩を犯す動機

 電子情報の外部流出は、自社内、あるいはパートナー企業、退職者、派遣社員やアルバイト、さらに臨時のプロジェクトで社内業務に関わった下請け会社など、どこからでも起こりうる。それは紙などの媒体でも同じことなのだが、帳簿を何冊も持ち出すのとUSBメモリやSDカードにコピーして持ち出すのとでは、心理的にも物理的にも障壁の高さが格段に違う。
 古くから「金になる」情報は、ライバル会社に売れる設計情報や新商品情報などが主だったが、現在ではそれらに加えて氏名と住所とクレジットカード番号など、個人情報が売買の中心になっている。簡単に情報を求めている名簿業者が探し出せるうえに、インターネットには半ば公然と大量の個人情報を売買するアンダーグラウンドのマーケットプレイスさえ存在している。
 さらに低迷している経済状況を反映して、個人の生活上での経済的逼迫に陥る人も多いうえ、会社の待遇・処遇に不満を持つ人が増加しており、金銭目的に加えて、会社への「恨み」「不満」を動機に業務妨害活動のために情報流出を行う者も出てくる。ある調査では従業員の9割が何らかの仕事上の不安や不満を抱えているとされるなかで、特に解雇者などのように会社への関わりを断たれた後でも反感が残る場合には、自分に見返りがなくてもひどい業務妨害を行う可能性もある。

セキュリティ情報局にご登録頂いた方限定で「組織内部関係者による業務妨害や情報漏洩」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


関連キーワード

情報漏洩/組織内部関係者による業務妨害や情報漏洩」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「情報漏洩」関連情報をランダムに表示しています。

情報漏洩」関連の製品

機密情報漏洩対策ソリューション SECUDRIVE(セキュドライブ) 【ブレインズスクエア】 スマートデバイス仮想化基盤 Avast Virtual Mobile Platform 【日立ソリューションズ】 メール誤送信防止ソリューション「Active! gate」 【クオリティア】
DLP MDM メールセキュリティ
「企業の機密情報は絶対流出させない」をコンセプトに開発されたファイルサーバーセキュリティプログラム、デバイス制御などからなる情報漏洩防止ソリューション。 スマートデバイスの活用、BYODの実現を支援する仮想化基盤ソリューション。スマートデバイス向け仮想化基盤により、情報漏洩リスクの軽減とデータの公私分離を実現。 上司承認(オプション)を含む7つのアプローチを1つの製品で実現するメール誤送信対策ソフトウェア。アプライアンス版も提供。ユーザがポリシー設定でき運用負荷も軽減。

情報漏洩」関連の特集


コンパクトで高性能なデバイス「モバイルPC」。2011年春のトレンドは? スマートフォンやタブレット…



情報漏洩を防ぎ高速に暗号処理ができるクラウド向け「ポリバレント暗号」を特集。スマホでも高速に暗号化で…



多種類のWANサービスが提供されている今IP-VPN独自の強みを活かす「使い分け法」とは!?最新事情…


情報漏洩」関連のセミナー

事例から学ぶ特権ID管理セミナー:製品選定のポイントと活用事例 【エヌ・ティ・ティ・ソフトウェア】  

開催日 11月17日(木),12月15日(木),1月19日(木),2月16日(木),3月9日(木)   開催地 東京都   参加費 無料

IT統制の取り組みがスタートし、IT全般統制などの法令監査において特権IDの管理に関する監査が、年々厳しさを増しています。また、マイナンバーやPCI DSSなど…

標的型攻撃対策ソリューションセミナー 【NRIセキュアテクノロジーズ】  

開催日 1月13日(金),2月9日(木),3月10日(金)   開催地 東京都   参加費 無料

情報漏洩防止のみならず、昨今猛威をふるうランサムウェア対策という観点からも、標的型攻撃への対策はますますその重要度が増しています。本セミナーでは最近の標的型攻撃…

事例から学ぶ特権ID・監査ログ管理実践セミナー 【NRIセキュアテクノロジーズ】  

開催日 1月12日(木),2月10日(金),3月9日(木)   開催地 東京都   参加費 無料

IT全般統制の不備に対する監査法人からの指摘への対応、PCI DSS認定時のアクセス管理要件への適応、リモート作業時のアクセス制御・ログ取得など、現在様々な要件…

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30004938


IT・IT製品TOP > エンドポイントセキュリティ > 認証 > 認証のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ