組織内部の不正行為、システム管理者が2割 - 半数は顧客情報が対象

組織内部による不正行為は、4分の3が監視の甘い状況で発生しており、約半数は顧客情報が対象だったことがわかった。2割はシステム管理者による行為だったという。

情報処理推進機構（IPA）が、内部不正防止対策について紹介する技術レポート「IPA テクニカルウォッチ第6回」で取りまとめたもの。

同レポートでは、これまで国内外で実施されてきた取り組み状況の動向について紹介。また内部不正行為対策について同機構では立案を開始しており、従来調査が対象としている犯罪行為に限定せず、過失や事件化しないケースについても対象とする基礎調査の一部を報告している。

同調査によれば、組織内部の不正行為は一般へ公開されないケースが多いことから、インシデントに関わった調査員、企業のCISO、法律家など対象に20件のインタビューを実施。さらに判例10件を分析した。

インタビューをもとに未遂を除く19件を分析したところ、組織内部による不正行為は、74％が監視の甘い状況で発生しており、53％が顧客情報を対象としていた。「ID・パスワード」と「社内情報」が16％で次いで多く、開発情報（10％）も狙われている。

動機は「金銭」が32％で最多。次に「組織への不満」と「転職を優位にする」がいずれも26％で続く。行為者は一般従業員が58％を占めており、システム管理者（21％）、開発者（16％）が続く。

一方判例を分析すると、動機が「転職や起業に有利にしたい」が6割、「有利に業務などを実施したい」が4割でインタビューとは傾向が異なる。対象情報は「開発情報」と「個人情報」がそれぞれ半数ずつだった。

同機構では、調査結果について、母数が少なく信頼性が高いとは言えないとしながらも、監視性などの環境や、組織に対する個人の意識などが不正行為の発生に影響を与えているのではないかと分析。今後さらなる調査で検証を進めるとしている。

（Security NEXT - 2012/03/16 ）ツイート