内部関係者の不正行為による情報漏えい対策を改めて呼びかけ（IPA）

IPAは、組織の内部関係者の不正行為による情報漏えいを防止するために、セキュリティ対策の見直しを呼びかける発表を行った。

脆弱性と脅威脅威動向

2014.7.14 Mon 8:00

独立行政法人情報処理推進機構（IPA）は7月10日、組織の内部関係者の不正行為による情報漏えいを防止するために、セキュリティ対策の見直しを呼びかける発表を行った。これは7月9日、教育関係の企業において大量の顧客情報の漏えいが起こったとの報道があり、組織の内部情報にアクセスできる社員以外の内部者によって情報が持ち出された可能性があると報道されたことを受けたもの。重要な情報を保持する企業・組織は、内部者による不正を防止するための対策の検討や点検を行うことを改めて呼びかけている。

これまでも従業員や委託先社員等の内部者の不正行為による情報窃取等の被害が数多く起こっており、IPAでは内部不正防止ガイドラインを公表し、対策の呼びかけを行ってきた。ガイドラインでは基本方針や技術的管理、人的管理、物理的管理など10の観点から30の対策項目を示している。最初にチェックシートで対策の現状を把握し、その結果を基に必要な対策項目を検討することが効果的であるとしており、具体的な実施策の検討には、各対策に必要な製品、ソリューションが紹介された、日本ネットワークセキュリティ協会（JNSA）の「内部不正対策ソリューションガイド」が参考になるとしている。

また、専門家によれば、不正行為は「不正のトライアングル」という「動機・プレッシャー」「機会」「正当化」の3つの要因が全て揃った時に発生すると言われている。このうち「動機・プレッシャー」と「機会」の低減は、組織が能動的に対策できるとしている。さらに、特に重要な情報が保管されているファイルやデータベースについては、「重要な情報であることを明確にし、適切なアクセス権限を付与すること」「重要情報の持ち出し・可搬媒体等の持ち込みの監視」「定期的な操作履歴の監視・監査」といった対策が必要としている。

《吉澤亨史（ Kouji Yoshizawa ）》