組織内部関係者による業務妨害や情報漏洩

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

組織内部関係者による業務妨害や情報漏洩

2012/08/21


 情報漏洩事件が毎日のように報道されている。外部から組織の情報を盗ろうとする「サイバー攻撃」が問題視されることが多いものの、外部からのやみくもな攻撃よりも、実は内部の関係者、しかも正当な情報アクセス権限を持った人間による意図的な流出、あるいは業務妨害行動のほうが、はるかに深刻な被害を生む可能性がある。特に雇用関係・人間関係の不満や恨みが動機になると、本当は自分の不利益になるはずのことまで実行してしまうことがある。同僚や仕事仲間を疑いたくはないが、何らかの対策を講じておかなければ企業の利益を損なうばかりか信用も失い、社会的に糾弾されかねないリスクがある。今回は、組織内部関係者による業務妨害や情報漏洩について、傾向と対策を考えていく。

情報漏洩

明らかになった「内部犯行」の現実

 組織内部関係者による業務妨害や情報漏洩事件は、顧客情報漏洩のように広範な影響が生じるケースのほかは、報道も公表もされないまま、会社と当事者間で処理される事例が多いことは想像に難くない。事件は起きていても、公開されるケースは非常に少ない。しかし内部関係者であればこそ、本当に機密を要する情報、すなわち漏洩させれば会社に打撃を与えられる情報について熟知しており、情報へのアクセスも容易な場合が多い。
 外部から見えにくいこうした「内部犯行」について、IPAでは「組織内部者の不正行為によるインシデント調査」を行っており、この7月に報告書をまとめた。その中では、内部者の不正行為の実例が19例、未遂が1例とり上げられた。不正行為事例には事件に関わった調査員や起業CISO、法律家などへの詳細なインタビュー調査が加えられ、不正行為の詳細分類と不正行為者の漏洩対象情報と動機が表1-1、1-2のように明らかになった。

表1 内部不正のあった事例のインタビュー調査結果(n=19)
表1 内部不正のあった事例のインタビュー調査結果(n=19)
「組織内部者の不正行為によるインシデント調査報告書」2012年7月
資料提供:IPA

 この結果から、一般社員が不正を働く場合、流出や不正利用などの対象となるのは、顧客情報、ID・パスワード、社内情報の順で多く、動機は組織や上司に対する不満と、情報を売って稼ぐ金銭目的であることがわかる。実際の事例では経済的に逼迫しての不正行為の場合もあれば、退職者の会社への恨みによる嫌がらせであることも多いようだ。
 また、システム管理者の場合は金銭目的などで顧客情報と社内情報を漏洩させた例があり、開発者の場合は会社を退職して転職や起業する場合に有利になるように、開発情報を持ち出す例が多いと見られる。
 以下では更に詳しく調査結果を見ながら、内部関係者の不正を防ぐ方法を考えてみよう。


1

内部関係者の不正の原因は?

1-1

内部関係者の不正が原因となった情報漏洩事件と背景

■被害金額約70億円の情報漏洩事件

 「内部の関係者からの情報漏洩」で思い出されるのは、2009年、旧三菱UFJ証券のシステム部元社員が顧客情報148万6651人分を不正に持ち出し、名簿業者に売却した事件だ。このうち4万9159人分の情報は回収できず、名前や住所、電話番号(自宅・携帯電話)、生年月日、職業、年収区分、勤務先名や部署名、役職などの情報が闇の中で流通し、未公開株や投資用マンションなどの執拗な勧誘、海外の宝くじに関するダイレクトメールが送られるなどの迷惑事例が起きた。元社員は逮捕、同社は金融庁の行政処分を受けることになった。この顛末でこの事件への対応による同社の損失は約70億円超にのぼるとされている。

■パートナー企業からの情報漏洩事件

 また、2011年にはその年2月に倒産した保険代理店を経由して、複数の保険会社とクレジット会社の合計約18万3000件超の顧客情報が名簿業者に売却される事件が起きた。顧客情報を収集・保管していた当の保険会社やクレジット会社からの直接流出でなく、パートナー業者から流出したのがこの事例の特徴だ。

■意図的な情報漏洩を犯す動機

 電子情報の外部流出は、自社内、あるいはパートナー企業、退職者、派遣社員やアルバイト、さらに臨時のプロジェクトで社内業務に関わった下請け会社など、どこからでも起こりうる。それは紙などの媒体でも同じことなのだが、帳簿を何冊も持ち出すのとUSBメモリやSDカードにコピーして持ち出すのとでは、心理的にも物理的にも障壁の高さが格段に違う。
 古くから「金になる」情報は、ライバル会社に売れる設計情報や新商品情報などが主だったが、現在ではそれらに加えて氏名と住所とクレジットカード番号など、個人情報が売買の中心になっている。簡単に情報を求めている名簿業者が探し出せるうえに、インターネットには半ば公然と大量の個人情報を売買するアンダーグラウンドのマーケットプレイスさえ存在している。
 さらに低迷している経済状況を反映して、個人の生活上での経済的逼迫に陥る人も多いうえ、会社の待遇・処遇に不満を持つ人が増加しており、金銭目的に加えて、会社への「恨み」「不満」を動機に業務妨害活動のために情報流出を行う者も出てくる。ある調査では従業員の9割が何らかの仕事上の不安や不満を抱えているとされるなかで、特に解雇者などのように会社への関わりを断たれた後でも反感が残る場合には、自分に見返りがなくてもひどい業務妨害を行う可能性もある。

セキュリティ情報局にご登録頂いた方限定で「組織内部関係者による業務妨害や情報漏洩」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


関連キーワード

情報漏洩/組織内部関係者による業務妨害や情報漏洩」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「情報漏洩」関連情報をランダムに表示しています。

情報漏洩」関連の製品

ネットワーク分離ソリューション 【アクシオ】 機密情報ファイルの漏洩対策 DataClasys(データクレシス) 【ネスコ】 NetSkateKoban(不正接続端末検知・遮断/Network可視化システム) 【ギガ+他】
その他ネットワークセキュリティ関連 暗号化 検疫
二要素認証、操作ログ、標的型攻撃対策、ファイル共有、ネットワーク分離を構成する各プロダクトと構築サービス。 様々なファイルの暗号化・利用権限設定により、情報漏洩を防止するDRM・IRM製品。権限者は暗号化したまま通常操作で利用可能。海外拠点からの二次漏洩も防止できる。 不正端末の接続を検知し、排除。
◎各端末へソフトのインストール不要
◎VLAN対応で、低コスト
◎IPv6対応
◎地図表示によるネットワーク可視化
◎端末の通信誘導(利用限定)

情報漏洩」関連の特集


 前回は、事務所とパソコンについてお話ししましたが、今回も引き続き「企業・組織における最低限の情報セ…



昨年から急増するWebサイトへの成りすましアクセス。時に莫大な損害賠償やブランド毀損を招きかねない不…



莫大なコストをかけて導入しても、結局使われなくなった「BIツール」…。珍しい話ではありません!Exc…


情報漏洩」関連のセミナー

働き方改革の人事課題とIT課題の解決セミナー 【日商エレクトロニクス】 締切間近 

開催日 7月27日(木)   開催地 東京都   参加費 無料

本イベントでは働き方改革の本質的な目的である「儲けるための経営戦略」を実現するためにITでどのようにテレワークを実現するかについてご紹介いたします。テレワークで…

System Support Day 2017 【ディー・オー・エス】 注目 

開催日 9月7日(木)   開催地 東京都   参加費 無料

標的型攻撃の脅威や、内部不正による情報漏洩などが社会問題となる昨今、あらゆるセキュリティ対策の基盤となるIT資産管理は、ますます重要性を増しています。また、ソフ…

事例から学ぶ特権ID管理セミナー:製品選定のポイントと活用事例 【NTTテクノクロス】  

開催日 8月24日(木)   開催地 東京都   参加費 無料

IT統制の取り組みがスタートし、IT全般統制などの法令監査において特権IDの管理に関する監査が、年々厳しさを増しています。また、マイナンバーやPCI DSSなど…

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30004938


IT・IT製品TOP > エンドポイントセキュリティ > 認証 > 認証のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ