Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

内部不正の抑止対策、管理者と従業員にギャップ - 現場は「証跡保存」を評価

情報処理推進機構(IPA)は、内部不正の現状や原因などを調査し、報告書として取りまとめた。

同調査は、インシデント件数に占める割合としては小さいながらも、外部攻撃以上に被害をもたらすと考えられることも多い「内部不正」について、実態を明らかにするため、同機構が調査を実施したもの。

文献や事例、インタビューをもとに調査を進め、さらに経営者や管理者など110人、企業の一般従業員3000人を対象にアンケートを実施し、報告書として取りまとめた。

アンケート調査を見ると、従業員が挙げた内部不正の犯行動機を高める要因としては、「不当に感じる解雇通告(34.2%)」「給与への不満(23.2%)」「人事評価への不満(22.7%)」など、組織における待遇面の不満が上位を占めた。

内部不正を防止する有効な手段については、管理者側と従業員側で考え方が異なっている。重要情報を特定従業員のみアクセス可能とするアクセス制御を有効な手段と考える管理者が20.9%にのぼり、最多だった。

一方従業員は、54.2%が「システムに操作記録が残ること」が抑止につながると回答。アンケートで同項目を有効と考える管理者はほぼ皆無で、21項目中19番目と下位の対策だった。

また「ログインIDやパスワードの管理徹底」は管理者、従業員いずれも上位に挙げた対策。実際に「ID」「パスワード」などアカウント情報の管理の甘さが、内部不正を誘発する原因になっていることも、インタビューで明らかになったという。

同機構では、技術面ではデジタルフォレンジックを実施して従業員へ通知し、運用面からアクセス権限を適切に設定することが有効だと指摘。組織内におけるソーシャルキャピタルの向上が重要だと説明している。

今後IPAでは、内部不正を防止する環境の整備に利用できる「組織における内部不正防止ガイドライン」を経営者やシステム管理者向けに作成し、2012年度中を目処に公開する予定。

(Security NEXT - 2012/07/17 ) このエントリーをはてなブックマークに追加

PR

関連記事

公開鍵証明書不要の「AISTパスワード認証方式」などが国際標準化
目立つ「HeartBleed」関連インシデント - ラック報告
Pマーク事業者の個人情報関連事故、2016年度は843組織2044件
実在組織名用いたメール攻撃訓練でトラブルのおそれも - IPAが注意喚起
多くの企業が不正侵入対策へ注力するも3割弱が被害を経験
「Apache Struts 2」関連のインシデント検知が増加 - ラック
情報漏洩インシデント時における広報対策セミナー - JSSEC
疑似環境でサイバー攻撃者を泳がせ、挙動解析する「STARDUST」を開発 - NICT
2016年の個人情報漏洩インシデントは468件、平均想定賠償額は6.7億円 - JNSAまとめ
中小企業の内部不正、発覚事案の1割弱が情報漏洩