Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

組織内部の不正行為、システム管理者が2割 - 半数は顧客情報が対象

組織内部による不正行為は、4分の3が監視の甘い状況で発生しており、約半数は顧客情報が対象だったことがわかった。2割はシステム管理者による行為だったという。

情報処理推進機構(IPA)が、内部不正防止対策について紹介する技術レポート「IPA テクニカルウォッチ 第6回」で取りまとめたもの。

同レポートでは、これまで国内外で実施されてきた取り組み状況の動向について紹介。また内部不正行為対策について同機構では立案を開始しており、従来調査が対象としている犯罪行為に限定せず、過失や事件化しないケースについても対象とする基礎調査の一部を報告している。

同調査によれば、組織内部の不正行為は一般へ公開されないケースが多いことから、インシデントに関わった調査員、企業のCISO、法律家など対象に20件のインタビューを実施。さらに判例10件を分析した。

インタビューをもとに未遂を除く19件を分析したところ、組織内部による不正行為は、74%が監視の甘い状況で発生しており、53%が顧客情報を対象としていた。「ID・パスワード」と「社内情報」が16%で次いで多く、開発情報(10%)も狙われている。

動機は「金銭」が32%で最多。次に「組織への不満」と「転職を優位にする」がいずれも26%で続く。行為者は一般従業員が58%を占めており、システム管理者(21%)、開発者(16%)が続く。

一方判例を分析すると、動機が「転職や起業に有利にしたい」が6割、「有利に業務などを実施したい」が4割でインタビューとは傾向が異なる。対象情報は「開発情報」と「個人情報」がそれぞれ半数ずつだった。

同機構では、調査結果について、母数が少なく信頼性が高いとは言えないとしながらも、監視性などの環境や、組織に対する個人の意識などが不正行為の発生に影響を与えているのではないかと分析。今後さらなる調査で検証を進めるとしている。

(Security NEXT - 2012/03/16 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

目立つ「HeartBleed」関連インシデント - ラック報告
Pマーク事業者の個人情報関連事故、2016年度は843組織2044件
多くの企業が不正侵入対策へ注力するも3割弱が被害を経験
「Apache Struts 2」関連のインシデント検知が増加 - ラック
2016年の個人情報漏洩インシデントは468件、平均想定賠償額は6.7億円 - JNSAまとめ
中小企業の内部不正、発覚事案の1割弱が情報漏洩
4社に1社がインシデント被害を経験 - 半数超が脆弱性突かれた被害
4社に3社が過去1年間にインシデントを認知 - 標的型攻撃は8社に1社
IT予算に占めるセキュリティ対策は16.4% - 過去最高を更新
セキュリティ侵害発覚まで平均520日 - 狙いは役員の「メール」