組織内部関係者による業務妨害や情報漏洩

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

組織内部関係者による業務妨害や情報漏洩

2012/08/21


 情報漏洩事件が毎日のように報道されている。外部から組織の情報を盗ろうとする「サイバー攻撃」が問題視されることが多いものの、外部からのやみくもな攻撃よりも、実は内部の関係者、しかも正当な情報アクセス権限を持った人間による意図的な流出、あるいは業務妨害行動のほうが、はるかに深刻な被害を生む可能性がある。特に雇用関係・人間関係の不満や恨みが動機になると、本当は自分の不利益になるはずのことまで実行してしまうことがある。同僚や仕事仲間を疑いたくはないが、何らかの対策を講じておかなければ企業の利益を損なうばかりか信用も失い、社会的に糾弾されかねないリスクがある。今回は、組織内部関係者による業務妨害や情報漏洩について、傾向と対策を考えていく。

情報漏洩

明らかになった「内部犯行」の現実

 組織内部関係者による業務妨害や情報漏洩事件は、顧客情報漏洩のように広範な影響が生じるケースのほかは、報道も公表もされないまま、会社と当事者間で処理される事例が多いことは想像に難くない。事件は起きていても、公開されるケースは非常に少ない。しかし内部関係者であればこそ、本当に機密を要する情報、すなわち漏洩させれば会社に打撃を与えられる情報について熟知しており、情報へのアクセスも容易な場合が多い。
 外部から見えにくいこうした「内部犯行」について、IPAでは「組織内部者の不正行為によるインシデント調査」を行っており、この7月に報告書をまとめた。その中では、内部者の不正行為の実例が19例、未遂が1例とり上げられた。不正行為事例には事件に関わった調査員や起業CISO、法律家などへの詳細なインタビュー調査が加えられ、不正行為の詳細分類と不正行為者の漏洩対象情報と動機が表1-1、1-2のように明らかになった。

表1 内部不正のあった事例のインタビュー調査結果(n=19)
表1 内部不正のあった事例のインタビュー調査結果(n=19)
「組織内部者の不正行為によるインシデント調査報告書」2012年7月
資料提供:IPA

 この結果から、一般社員が不正を働く場合、流出や不正利用などの対象となるのは、顧客情報、ID・パスワード、社内情報の順で多く、動機は組織や上司に対する不満と、情報を売って稼ぐ金銭目的であることがわかる。実際の事例では経済的に逼迫しての不正行為の場合もあれば、退職者の会社への恨みによる嫌がらせであることも多いようだ。
 また、システム管理者の場合は金銭目的などで顧客情報と社内情報を漏洩させた例があり、開発者の場合は会社を退職して転職や起業する場合に有利になるように、開発情報を持ち出す例が多いと見られる。
 以下では更に詳しく調査結果を見ながら、内部関係者の不正を防ぐ方法を考えてみよう。


1

内部関係者の不正の原因は?

1-1

内部関係者の不正が原因となった情報漏洩事件と背景

■被害金額約70億円の情報漏洩事件

 「内部の関係者からの情報漏洩」で思い出されるのは、2009年、旧三菱UFJ証券のシステム部元社員が顧客情報148万6651人分を不正に持ち出し、名簿業者に売却した事件だ。このうち4万9159人分の情報は回収できず、名前や住所、電話番号(自宅・携帯電話)、生年月日、職業、年収区分、勤務先名や部署名、役職などの情報が闇の中で流通し、未公開株や投資用マンションなどの執拗な勧誘、海外の宝くじに関するダイレクトメールが送られるなどの迷惑事例が起きた。元社員は逮捕、同社は金融庁の行政処分を受けることになった。この顛末でこの事件への対応による同社の損失は約70億円超にのぼるとされている。

■パートナー企業からの情報漏洩事件

 また、2011年にはその年2月に倒産した保険代理店を経由して、複数の保険会社とクレジット会社の合計約18万3000件超の顧客情報が名簿業者に売却される事件が起きた。顧客情報を収集・保管していた当の保険会社やクレジット会社からの直接流出でなく、パートナー業者から流出したのがこの事例の特徴だ。

■意図的な情報漏洩を犯す動機

 電子情報の外部流出は、自社内、あるいはパートナー企業、退職者、派遣社員やアルバイト、さらに臨時のプロジェクトで社内業務に関わった下請け会社など、どこからでも起こりうる。それは紙などの媒体でも同じことなのだが、帳簿を何冊も持ち出すのとUSBメモリやSDカードにコピーして持ち出すのとでは、心理的にも物理的にも障壁の高さが格段に違う。
 古くから「金になる」情報は、ライバル会社に売れる設計情報や新商品情報などが主だったが、現在ではそれらに加えて氏名と住所とクレジットカード番号など、個人情報が売買の中心になっている。簡単に情報を求めている名簿業者が探し出せるうえに、インターネットには半ば公然と大量の個人情報を売買するアンダーグラウンドのマーケットプレイスさえ存在している。
 さらに低迷している経済状況を反映して、個人の生活上での経済的逼迫に陥る人も多いうえ、会社の待遇・処遇に不満を持つ人が増加しており、金銭目的に加えて、会社への「恨み」「不満」を動機に業務妨害活動のために情報流出を行う者も出てくる。ある調査では従業員の9割が何らかの仕事上の不安や不満を抱えているとされるなかで、特に解雇者などのように会社への関わりを断たれた後でも反感が残る場合には、自分に見返りがなくてもひどい業務妨害を行う可能性もある。

セキュリティ情報局にご登録頂いた方限定で「組織内部関係者による業務妨害や情報漏洩」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


関連キーワード

情報漏洩/組織内部関係者による業務妨害や情報漏洩」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「情報漏洩」関連情報をランダムに表示しています。

情報漏洩」関連の製品

スマートデバイス管理ツール LanScope An (iOS・Android・Win対応) 【エムオーテックス】 PC&モバイルセキュリティ維持・管理ソリューション ISM CloudOne 【クオリティソフト】 情報漏洩対策+資産管理ツール MaLion 5 【インターコム】
MDM IT資産管理 IT資産管理
スマートデバイスの紛失・盗難対策に欠かせないリモートロック・ワイプ機能や位置情報取得のほか、資産管理、操作ログ取得など端末の管理・活用機能も搭載した新しいMDM。 自動で管理端末の脆弱性を検知し、マルチデバイスのセキュリティを一元管理するクラウドサービス。 情報漏洩対策とIT資産管理・SAMを網羅したクライアントPC運用管理ソフト。充実した操作監視・制限機能や管理者負担の軽減に配慮した導入・運用支援機能が特長。

情報漏洩」関連の特集


昨今の重大な情報漏洩事件や被害事例に鑑み、システムには新しい脅威に対抗できる策が求められています。脅…



広域ネットワーク「WAN」を基礎から解説!多種多様な各種WANサービスについても紹介。今さら聞けない…



会社にウイルスを持ち込まれる心配をしていませんか?検疫ソリューションで解決しましょう!基礎から最新動…


情報漏洩」関連のセミナー

IT資産管理ツール比較セミナー 【ソフトクリエイト】 締切間近 

開催日 12月15日(木)   開催地 東京都   参加費 無料

情報セキュリティ対策をIT資産の管理からはじめる企業が増えています。しかし、導入する上でメーカーや製品の選択で悩まれている企業のご担当者様が多くいらっしゃいます…

標的型攻撃対策ソリューションセミナー 【NRIセキュアテクノロジーズ】  

開催日 1月13日(金),2月9日(木),3月10日(金)   開催地 東京都   参加費 無料

情報漏洩防止のみならず、昨今猛威をふるうランサムウェア対策という観点からも、標的型攻撃への対策はますますその重要度が増しています。本セミナーでは最近の標的型攻撃…

従来のセキュリティ対策を超えて 【日立ソリューションズ】  

開催日 12月9日(金)   開催地 大阪府   参加費 無料

クラウドサービスの普及により、これまでのように情報システム部門でネットワークをすべて管理することは非常に困難となっています。従来のセキュリティ対策では、クラウド…

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30004938


IT・IT製品TOP > エンドポイントセキュリティ > 認証 > 認証のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ