Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

内部不正の抑止対策、管理者と従業員にギャップ - 現場は「証跡保存」を評価

情報処理推進機構(IPA)は、内部不正の現状や原因などを調査し、報告書として取りまとめた。

同調査は、インシデント件数に占める割合としては小さいながらも、外部攻撃以上に被害をもたらすと考えられることも多い「内部不正」について、実態を明らかにするため、同機構が調査を実施したもの。

文献や事例、インタビューをもとに調査を進め、さらに経営者や管理者など110人、企業の一般従業員3000人を対象にアンケートを実施し、報告書として取りまとめた。

アンケート調査を見ると、従業員が挙げた内部不正の犯行動機を高める要因としては、「不当に感じる解雇通告(34.2%)」「給与への不満(23.2%)」「人事評価への不満(22.7%)」など、組織における待遇面の不満が上位を占めた。

内部不正を防止する有効な手段については、管理者側と従業員側で考え方が異なっている。重要情報を特定従業員のみアクセス可能とするアクセス制御を有効な手段と考える管理者が20.9%にのぼり、最多だった。

一方従業員は、54.2%が「システムに操作記録が残ること」が抑止につながると回答。アンケートで同項目を有効と考える管理者はほぼ皆無で、21項目中19番目と下位の対策だった。

また「ログインIDやパスワードの管理徹底」は管理者、従業員いずれも上位に挙げた対策。実際に「ID」「パスワード」などアカウント情報の管理の甘さが、内部不正を誘発する原因になっていることも、インタビューで明らかになったという。

同機構では、技術面ではデジタルフォレンジックを実施して従業員へ通知し、運用面からアクセス権限を適切に設定することが有効だと指摘。組織内におけるソーシャルキャピタルの向上が重要だと説明している。

今後IPAでは、内部不正を防止する環境の整備に利用できる「組織における内部不正防止ガイドライン」を経営者やシステム管理者向けに作成し、2012年度中を目処に公開する予定。

(Security NEXT - 2012/07/17 ) このエントリーをはてなブックマークに追加

PR

関連記事

緊急対応支援、「サーバ不正侵入」が半数超 - 仮想通貨発掘スクリプトが埋め込まれる被害も
2017年の個人情報漏洩は386件、想定損害賠償額は1914億円 - JNSAまとめ
県立校のセキュリティ監査を実施、7割強に問題 - 佐賀県
GMOペパボ、不正アクセスで調査報告 - 原因はシステムとマネジメント体制の不備
セキュリティ製品やサービスの国内市場、いずれも5%増と堅調
1割超の企業が過去1年間に内部不正の情報漏洩を認知 - DDoS攻撃も1割弱
研究者が注目した「10大脅威」、具体的な手口や対策は? - IPAが解説資料
家庭内IoT機器、現存マルウェアからはルータで保護可能 - ただしルータへの侵入防護が条件
ネット通販の中古ドライブ、50台中15台にデータ - 8台に企業情報らしきファイル
専門家などが選ぶ「セキュリティ10大脅威」 - セキュリティ人材不足が5位に