組織内部関係者による業務妨害や情報漏洩

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

組織内部関係者による業務妨害や情報漏洩

2012/08/21


 情報漏洩事件が毎日のように報道されている。外部から組織の情報を盗ろうとする「サイバー攻撃」が問題視されることが多いものの、外部からのやみくもな攻撃よりも、実は内部の関係者、しかも正当な情報アクセス権限を持った人間による意図的な流出、あるいは業務妨害行動のほうが、はるかに深刻な被害を生む可能性がある。特に雇用関係・人間関係の不満や恨みが動機になると、本当は自分の不利益になるはずのことまで実行してしまうことがある。同僚や仕事仲間を疑いたくはないが、何らかの対策を講じておかなければ企業の利益を損なうばかりか信用も失い、社会的に糾弾されかねないリスクがある。今回は、組織内部関係者による業務妨害や情報漏洩について、傾向と対策を考えていく。

情報漏洩

明らかになった「内部犯行」の現実

 組織内部関係者による業務妨害や情報漏洩事件は、顧客情報漏洩のように広範な影響が生じるケースのほかは、報道も公表もされないまま、会社と当事者間で処理される事例が多いことは想像に難くない。事件は起きていても、公開されるケースは非常に少ない。しかし内部関係者であればこそ、本当に機密を要する情報、すなわち漏洩させれば会社に打撃を与えられる情報について熟知しており、情報へのアクセスも容易な場合が多い。
 外部から見えにくいこうした「内部犯行」について、IPAでは「組織内部者の不正行為によるインシデント調査」を行っており、この7月に報告書をまとめた。その中では、内部者の不正行為の実例が19例、未遂が1例とり上げられた。不正行為事例には事件に関わった調査員や起業CISO、法律家などへの詳細なインタビュー調査が加えられ、不正行為の詳細分類と不正行為者の漏洩対象情報と動機が表1-1、1-2のように明らかになった。

表1 内部不正のあった事例のインタビュー調査結果(n=19)
表1 内部不正のあった事例のインタビュー調査結果(n=19)
「組織内部者の不正行為によるインシデント調査報告書」2012年7月
資料提供:IPA

 この結果から、一般社員が不正を働く場合、流出や不正利用などの対象となるのは、顧客情報、ID・パスワード、社内情報の順で多く、動機は組織や上司に対する不満と、情報を売って稼ぐ金銭目的であることがわかる。実際の事例では経済的に逼迫しての不正行為の場合もあれば、退職者の会社への恨みによる嫌がらせであることも多いようだ。
 また、システム管理者の場合は金銭目的などで顧客情報と社内情報を漏洩させた例があり、開発者の場合は会社を退職して転職や起業する場合に有利になるように、開発情報を持ち出す例が多いと見られる。
 以下では更に詳しく調査結果を見ながら、内部関係者の不正を防ぐ方法を考えてみよう。


1

内部関係者の不正の原因は?

1-1

内部関係者の不正が原因となった情報漏洩事件と背景

■被害金額約70億円の情報漏洩事件

 「内部の関係者からの情報漏洩」で思い出されるのは、2009年、旧三菱UFJ証券のシステム部元社員が顧客情報148万6651人分を不正に持ち出し、名簿業者に売却した事件だ。このうち4万9159人分の情報は回収できず、名前や住所、電話番号(自宅・携帯電話)、生年月日、職業、年収区分、勤務先名や部署名、役職などの情報が闇の中で流通し、未公開株や投資用マンションなどの執拗な勧誘、海外の宝くじに関するダイレクトメールが送られるなどの迷惑事例が起きた。元社員は逮捕、同社は金融庁の行政処分を受けることになった。この顛末でこの事件への対応による同社の損失は約70億円超にのぼるとされている。

■パートナー企業からの情報漏洩事件

 また、2011年にはその年2月に倒産した保険代理店を経由して、複数の保険会社とクレジット会社の合計約18万3000件超の顧客情報が名簿業者に売却される事件が起きた。顧客情報を収集・保管していた当の保険会社やクレジット会社からの直接流出でなく、パートナー業者から流出したのがこの事例の特徴だ。

■意図的な情報漏洩を犯す動機

 電子情報の外部流出は、自社内、あるいはパートナー企業、退職者、派遣社員やアルバイト、さらに臨時のプロジェクトで社内業務に関わった下請け会社など、どこからでも起こりうる。それは紙などの媒体でも同じことなのだが、帳簿を何冊も持ち出すのとUSBメモリやSDカードにコピーして持ち出すのとでは、心理的にも物理的にも障壁の高さが格段に違う。
 古くから「金になる」情報は、ライバル会社に売れる設計情報や新商品情報などが主だったが、現在ではそれらに加えて氏名と住所とクレジットカード番号など、個人情報が売買の中心になっている。簡単に情報を求めている名簿業者が探し出せるうえに、インターネットには半ば公然と大量の個人情報を売買するアンダーグラウンドのマーケットプレイスさえ存在している。
 さらに低迷している経済状況を反映して、個人の生活上での経済的逼迫に陥る人も多いうえ、会社の待遇・処遇に不満を持つ人が増加しており、金銭目的に加えて、会社への「恨み」「不満」を動機に業務妨害活動のために情報流出を行う者も出てくる。ある調査では従業員の9割が何らかの仕事上の不安や不満を抱えているとされるなかで、特に解雇者などのように会社への関わりを断たれた後でも反感が残る場合には、自分に見返りがなくてもひどい業務妨害を行う可能性もある。

セキュリティ情報局にご登録頂いた方限定で「組織内部関係者による業務妨害や情報漏洩」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


関連キーワード

情報漏洩/組織内部関係者による業務妨害や情報漏洩」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「情報漏洩」関連情報をランダムに表示しています。

情報漏洩」関連の製品

法人向けオンラインストレージ DirectCloud-BOX 【ダイレクトクラウド】 フルディスク暗号化ソリューション:SecureDoc 【ウィンマジック・ジャパン】 CLEARSWIFT SECURE Email Gateway 【日立ソリューションズ】
オンラインストレージ/ファイルストレージ 暗号化 メールセキュリティ
社内外でファイルを効率よく安全に共有・管理できる「ユーザ数無制限」の法人向けオンラインストレージ。「セキュリティ」と「利便性」の両立を追求し生産性の向上を実現。 OSやシステムファイルを含むハードディスク全体を暗号化。暗号化後のパフォーマンスに優れ、認証ツール(トークン)にも対応するなど、ニーズに合わせた柔軟な運用が可能。 送信メールの本文や添付ファイルの内容から機密情報の有無をチェック。
ウイルス、スパム、暗号化といったメールセキュリティに関する機能もまとめて提供。

情報漏洩」関連の特集


ウイルスの影響で抜本的な見直しを迫られるクライアント管理。今回はその考え方をイチから整理した上でブレ…



情報漏洩の大きな原因の1つ、メールの誤送信。ウッカリミスが公的な場での謝罪や補償問題にもなりかねない…



MSやGoogleの自社開発によるハードウェア投入によりますます活気づくメディアタブレット市場。最新…


情報漏洩」関連のセミナー

巧妙化する標的型攻撃に必要な対策とは 【主催:アシスト 】  

開催日 3月8日(水)   開催地 東京都   参加費 無料

標的型攻撃を完全に"防御"することは難しいため、マルウェアに侵入されることを前提とした多重のデータ保護(内部対策)や、マルウェアが組織内に存在するか否か、存在す…

標的型攻撃対策ソリューションセミナー 【NRIセキュアテクノロジーズ】  

開催日 4月13日(木)   開催地 東京都   参加費 無料

情報漏洩防止のみならず、昨今猛威をふるうランサムウェア対策という観点からも、標的型攻撃への対策はますますその重要度が増しています。本セミナーでは最近の標的型攻撃…

次世代エンドポイントセキュリティソリューションセミナー 【主催:アシスト/共催:日立ソリューションズ 】 締切間近 

開催日 2月28日(火)   開催地 東京都   参加費 無料

近年増加している標的型攻撃などの外部脅威に対する情報漏洩対策として、入口・出口・内部など様々なレイヤーでの多層防御が求められています。標的型攻撃による侵入手法の…

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30004938


IT・IT製品TOP > エンドポイントセキュリティ > 認証 > 認証のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ