Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

内部不正の抑止対策、管理者と従業員にギャップ - 現場は「証跡保存」を評価

情報処理推進機構(IPA)は、内部不正の現状や原因などを調査し、報告書として取りまとめた。

同調査は、インシデント件数に占める割合としては小さいながらも、外部攻撃以上に被害をもたらすと考えられることも多い「内部不正」について、実態を明らかにするため、同機構が調査を実施したもの。

文献や事例、インタビューをもとに調査を進め、さらに経営者や管理者など110人、企業の一般従業員3000人を対象にアンケートを実施し、報告書として取りまとめた。

アンケート調査を見ると、従業員が挙げた内部不正の犯行動機を高める要因としては、「不当に感じる解雇通告(34.2%)」「給与への不満(23.2%)」「人事評価への不満(22.7%)」など、組織における待遇面の不満が上位を占めた。

内部不正を防止する有効な手段については、管理者側と従業員側で考え方が異なっている。重要情報を特定従業員のみアクセス可能とするアクセス制御を有効な手段と考える管理者が20.9%にのぼり、最多だった。

一方従業員は、54.2%が「システムに操作記録が残ること」が抑止につながると回答。アンケートで同項目を有効と考える管理者はほぼ皆無で、21項目中19番目と下位の対策だった。

また「ログインIDやパスワードの管理徹底」は管理者、従業員いずれも上位に挙げた対策。実際に「ID」「パスワード」などアカウント情報の管理の甘さが、内部不正を誘発する原因になっていることも、インタビューで明らかになったという。

同機構では、技術面ではデジタルフォレンジックを実施して従業員へ通知し、運用面からアクセス権限を適切に設定することが有効だと指摘。組織内におけるソーシャルキャピタルの向上が重要だと説明している。

今後IPAでは、内部不正を防止する環境の整備に利用できる「組織における内部不正防止ガイドライン」を経営者やシステム管理者向けに作成し、2012年度中を目処に公開する予定。

(Security NEXT - 2012/07/17 ) このエントリーをはてなブックマークに追加

PR

関連記事

個情委、四谷大塚に行政指導 - 子どもを守るため特に注意必要
Ivanti製品の侵害、以前のツールでは検証回避のおそれ
「セキュリティ10大脅威2024」 - 個人の脅威は順位表示を廃止
JNSA、2023年10大ニュースを発表 - 事件事故の背景に共通項も
2年間に約4万件の企業内部情報がダークウェブ上に投稿
年末年始に備え、セキュリティ対策を - 月例パッチは年明け1月9日
ランサムウェア感染組織の平均被害金額は2386万円 - JNSA調査
よく見られるセキュリティ構成ミスは? - 米当局がランキング
「CODE BLUE 2023」のタイムテーブル - 脆弱性関連の講演充実
「SECCON CTF 2023」の予選参加登録がスタート - 週末開催へ