Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

内部不正の抑止対策、管理者と従業員にギャップ - 現場は「証跡保存」を評価

情報処理推進機構(IPA)は、内部不正の現状や原因などを調査し、報告書として取りまとめた。

同調査は、インシデント件数に占める割合としては小さいながらも、外部攻撃以上に被害をもたらすと考えられることも多い「内部不正」について、実態を明らかにするため、同機構が調査を実施したもの。

文献や事例、インタビューをもとに調査を進め、さらに経営者や管理者など110人、企業の一般従業員3000人を対象にアンケートを実施し、報告書として取りまとめた。

アンケート調査を見ると、従業員が挙げた内部不正の犯行動機を高める要因としては、「不当に感じる解雇通告(34.2%)」「給与への不満(23.2%)」「人事評価への不満(22.7%)」など、組織における待遇面の不満が上位を占めた。

内部不正を防止する有効な手段については、管理者側と従業員側で考え方が異なっている。重要情報を特定従業員のみアクセス可能とするアクセス制御を有効な手段と考える管理者が20.9%にのぼり、最多だった。

一方従業員は、54.2%が「システムに操作記録が残ること」が抑止につながると回答。アンケートで同項目を有効と考える管理者はほぼ皆無で、21項目中19番目と下位の対策だった。

また「ログインIDやパスワードの管理徹底」は管理者、従業員いずれも上位に挙げた対策。実際に「ID」「パスワード」などアカウント情報の管理の甘さが、内部不正を誘発する原因になっていることも、インタビューで明らかになったという。

同機構では、技術面ではデジタルフォレンジックを実施して従業員へ通知し、運用面からアクセス権限を適切に設定することが有効だと指摘。組織内におけるソーシャルキャピタルの向上が重要だと説明している。

今後IPAでは、内部不正を防止する環境の整備に利用できる「組織における内部不正防止ガイドライン」を経営者やシステム管理者向けに作成し、2012年度中を目処に公開する予定。

(Security NEXT - 2012/07/17 ) このエントリーをはてなブックマークに追加

PR

関連記事

セキュリティ担当者の苦労や悩みを調査 - 気になる処遇も
38%の企業がセキュリティ投資を増額 - それでも65%は「不足」
暗号化の動機、「知的財産の保護」が6割 - 脅威は「従業員のミス」が最多
Pマーク、2017年度の事故報告は2399件 - 4件に1件は「メール誤送信」
対応コストともなう「サイバー攻撃」「内部犯行」、43.9%が経験
執拗な攻撃で組織へ侵入、感染するランサムウェア「SamSam」 - 被害は約590万ドルに
2018年1Qの重要インシデント、前四半期から2割減
定例パッチ公開日、盆休みを直撃 - 夏期休暇に備えてセキュリティ対策を
2017年度「標的型攻撃」 は幅広い分野が標的に - 「ANEL」「Taidoor」「PLEAD」などのツールを悪用
緊急対応支援、「サーバ不正侵入」が半数超 - 仮想通貨発掘スクリプトが埋め込まれる被害も