組織内部関係者による業務妨害や情報漏洩

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

組織内部関係者による業務妨害や情報漏洩

2012/08/21


 情報漏洩事件が毎日のように報道されている。外部から組織の情報を盗ろうとする「サイバー攻撃」が問題視されることが多いものの、外部からのやみくもな攻撃よりも、実は内部の関係者、しかも正当な情報アクセス権限を持った人間による意図的な流出、あるいは業務妨害行動のほうが、はるかに深刻な被害を生む可能性がある。特に雇用関係・人間関係の不満や恨みが動機になると、本当は自分の不利益になるはずのことまで実行してしまうことがある。同僚や仕事仲間を疑いたくはないが、何らかの対策を講じておかなければ企業の利益を損なうばかりか信用も失い、社会的に糾弾されかねないリスクがある。今回は、組織内部関係者による業務妨害や情報漏洩について、傾向と対策を考えていく。

情報漏洩

明らかになった「内部犯行」の現実

 組織内部関係者による業務妨害や情報漏洩事件は、顧客情報漏洩のように広範な影響が生じるケースのほかは、報道も公表もされないまま、会社と当事者間で処理される事例が多いことは想像に難くない。事件は起きていても、公開されるケースは非常に少ない。しかし内部関係者であればこそ、本当に機密を要する情報、すなわち漏洩させれば会社に打撃を与えられる情報について熟知しており、情報へのアクセスも容易な場合が多い。
 外部から見えにくいこうした「内部犯行」について、IPAでは「組織内部者の不正行為によるインシデント調査」を行っており、この7月に報告書をまとめた。その中では、内部者の不正行為の実例が19例、未遂が1例とり上げられた。不正行為事例には事件に関わった調査員や起業CISO、法律家などへの詳細なインタビュー調査が加えられ、不正行為の詳細分類と不正行為者の漏洩対象情報と動機が表1-1、1-2のように明らかになった。

表1 内部不正のあった事例のインタビュー調査結果(n=19)
表1 内部不正のあった事例のインタビュー調査結果(n=19)
「組織内部者の不正行為によるインシデント調査報告書」2012年7月
資料提供:IPA

 この結果から、一般社員が不正を働く場合、流出や不正利用などの対象となるのは、顧客情報、ID・パスワード、社内情報の順で多く、動機は組織や上司に対する不満と、情報を売って稼ぐ金銭目的であることがわかる。実際の事例では経済的に逼迫しての不正行為の場合もあれば、退職者の会社への恨みによる嫌がらせであることも多いようだ。
 また、システム管理者の場合は金銭目的などで顧客情報と社内情報を漏洩させた例があり、開発者の場合は会社を退職して転職や起業する場合に有利になるように、開発情報を持ち出す例が多いと見られる。
 以下では更に詳しく調査結果を見ながら、内部関係者の不正を防ぐ方法を考えてみよう。


1

内部関係者の不正の原因は?

1-1

内部関係者の不正が原因となった情報漏洩事件と背景

■被害金額約70億円の情報漏洩事件

 「内部の関係者からの情報漏洩」で思い出されるのは、2009年、旧三菱UFJ証券のシステム部元社員が顧客情報148万6651人分を不正に持ち出し、名簿業者に売却した事件だ。このうち4万9159人分の情報は回収できず、名前や住所、電話番号(自宅・携帯電話)、生年月日、職業、年収区分、勤務先名や部署名、役職などの情報が闇の中で流通し、未公開株や投資用マンションなどの執拗な勧誘、海外の宝くじに関するダイレクトメールが送られるなどの迷惑事例が起きた。元社員は逮捕、同社は金融庁の行政処分を受けることになった。この顛末でこの事件への対応による同社の損失は約70億円超にのぼるとされている。

■パートナー企業からの情報漏洩事件

 また、2011年にはその年2月に倒産した保険代理店を経由して、複数の保険会社とクレジット会社の合計約18万3000件超の顧客情報が名簿業者に売却される事件が起きた。顧客情報を収集・保管していた当の保険会社やクレジット会社からの直接流出でなく、パートナー業者から流出したのがこの事例の特徴だ。

■意図的な情報漏洩を犯す動機

 電子情報の外部流出は、自社内、あるいはパートナー企業、退職者、派遣社員やアルバイト、さらに臨時のプロジェクトで社内業務に関わった下請け会社など、どこからでも起こりうる。それは紙などの媒体でも同じことなのだが、帳簿を何冊も持ち出すのとUSBメモリやSDカードにコピーして持ち出すのとでは、心理的にも物理的にも障壁の高さが格段に違う。
 古くから「金になる」情報は、ライバル会社に売れる設計情報や新商品情報などが主だったが、現在ではそれらに加えて氏名と住所とクレジットカード番号など、個人情報が売買の中心になっている。簡単に情報を求めている名簿業者が探し出せるうえに、インターネットには半ば公然と大量の個人情報を売買するアンダーグラウンドのマーケットプレイスさえ存在している。
 さらに低迷している経済状況を反映して、個人の生活上での経済的逼迫に陥る人も多いうえ、会社の待遇・処遇に不満を持つ人が増加しており、金銭目的に加えて、会社への「恨み」「不満」を動機に業務妨害活動のために情報流出を行う者も出てくる。ある調査では従業員の9割が何らかの仕事上の不安や不満を抱えているとされるなかで、特に解雇者などのように会社への関わりを断たれた後でも反感が残る場合には、自分に見返りがなくてもひどい業務妨害を行う可能性もある。

セキュリティ情報局にご登録頂いた方限定で「組織内部関係者による業務妨害や情報漏洩」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


関連キーワード

情報漏洩/組織内部関係者による業務妨害や情報漏洩」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「情報漏洩」関連情報をランダムに表示しています。

情報漏洩」関連の製品

個人情報検出・管理ソフト 「PCFILTER」 【Jiransoft Japan】 CLEARSWIFT SECURE Email Gateway 【日立ソリューションズ】 クラウド型仮想デスクトップサービス NEC Cloud DaaS 【NEC】
暗号化 メールセキュリティ VDI
マイナンバーや個人情報などの重要情報を含むファイルをPCやネットワークドライブから素早く見つけ出し、適切な対処と情報管理を行う。ソフトウェアのほか、SaaSでも提供。 送信メールの本文や添付ファイルの内容から機密情報の有無をチェック。
ウイルス、スパム、暗号化といったメールセキュリティに関する機能もまとめて提供。
「NEC Cloud DaaS」は、ビジネスシーンに必要な機能を豊富なオプションラインナップで提供する。
クラウド基盤やハウジングとのシームレスな連携も可能。

情報漏洩」関連の特集


スパム、ウイルス、情報漏洩…セキュリティ担当者の悩みをまとめて解決してくれる「UTM」。基礎から最新…



大震災を境に注目される「在宅勤務」。しかし導入するには「適用日数」や「評価制度の変更」など課題も多数…



高度化するウイルスや外部からのアタックに対抗するための、統合されたセキュリティ対策「UTMアプライア…


情報漏洩」関連のセミナー

高度化するサイバー攻撃から会社を守れ!セキュリティ対策セミナ 【ディーアイエスソリューション/エムオーテックス/Cylance Japan/シスコシステムズ】 注目 

開催日 9月22日(金)   開催地 東京都   参加費 無料

【小さな会社のIT担当者のためのセキュリティの常識】の執筆者、船井総合研究所の那須慎二氏登壇決定!・何故サイバー攻撃とそれによる被害は増え続けているのか。これか…

Email Security Conference 2017 東京 【ナノオプト・メディア】 締切間近 

開催日 9月27日(水)〜9月29日(金)   開催地 東京都   参加費 無料

  「標的型攻撃」「ランサムウェア」「情報漏洩」、「脆弱性対策」など  多様化するサイバー攻撃の最新の脅威動向とその対策について、数々の事例を元に解説します。━…

データ消去ソフト サーバーディスクシュレッダー 製品セミナー 【パーソナルメディア】  

開催日 10月11日(水),10月25日(水),11月15日(水),11月29日(水)   開催地 東京都   参加費 無料

データ消去ソフト「サーバーディスクシュレッダー」の製品紹介セミナーです。実機を用いたデモンストレーションなど、実際の消去作業をご覧いただきながら、製品説明をいた…

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30004938


IT・IT製品TOP > エンドポイントセキュリティ > 認証 > 認証のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ