Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

組織内部の不正行為、システム管理者が2割 - 半数は顧客情報が対象

組織内部による不正行為は、4分の3が監視の甘い状況で発生しており、約半数は顧客情報が対象だったことがわかった。2割はシステム管理者による行為だったという。

情報処理推進機構(IPA)が、内部不正防止対策について紹介する技術レポート「IPA テクニカルウォッチ 第6回」で取りまとめたもの。

同レポートでは、これまで国内外で実施されてきた取り組み状況の動向について紹介。また内部不正行為対策について同機構では立案を開始しており、従来調査が対象としている犯罪行為に限定せず、過失や事件化しないケースについても対象とする基礎調査の一部を報告している。

同調査によれば、組織内部の不正行為は一般へ公開されないケースが多いことから、インシデントに関わった調査員、企業のCISO、法律家など対象に20件のインタビューを実施。さらに判例10件を分析した。

インタビューをもとに未遂を除く19件を分析したところ、組織内部による不正行為は、74%が監視の甘い状況で発生しており、53%が顧客情報を対象としていた。「ID・パスワード」と「社内情報」が16%で次いで多く、開発情報(10%)も狙われている。

動機は「金銭」が32%で最多。次に「組織への不満」と「転職を優位にする」がいずれも26%で続く。行為者は一般従業員が58%を占めており、システム管理者(21%)、開発者(16%)が続く。

一方判例を分析すると、動機が「転職や起業に有利にしたい」が6割、「有利に業務などを実施したい」が4割でインタビューとは傾向が異なる。対象情報は「開発情報」と「個人情報」がそれぞれ半数ずつだった。

同機構では、調査結果について、母数が少なく信頼性が高いとは言えないとしながらも、監視性などの環境や、組織に対する個人の意識などが不正行為の発生に影響を与えているのではないかと分析。今後さらなる調査で検証を進めるとしている。

(Security NEXT - 2012/03/16 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

38%の企業がセキュリティ投資を増額 - それでも65%は「不足」
暗号化の動機、「知的財産の保護」が6割 - 脅威は「従業員のミス」が最多
Pマーク、2017年度の事故報告は2399件 - 4件に1件は「メール誤送信」
対応コストともなう「サイバー攻撃」「内部犯行」、43.9%が経験
執拗な攻撃で組織へ侵入、感染するランサムウェア「SamSam」 - 被害は約590万ドルに
2018年1Qの重要インシデント、前四半期から2割減
2017年度「標的型攻撃」 は幅広い分野が標的に - 「ANEL」「Taidoor」「PLEAD」などのツールを悪用
2017年の個人情報漏洩は386件、想定損害賠償額は1914億円 - JNSAまとめ
セキュリティ製品やサービスの国内市場、いずれも5%増と堅調
1割超の企業が過去1年間に内部不正の情報漏洩を認知 - DDoS攻撃も1割弱