Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

内部不正の抑止対策、管理者と従業員にギャップ - 現場は「証跡保存」を評価

情報処理推進機構(IPA)は、内部不正の現状や原因などを調査し、報告書として取りまとめた。

同調査は、インシデント件数に占める割合としては小さいながらも、外部攻撃以上に被害をもたらすと考えられることも多い「内部不正」について、実態を明らかにするため、同機構が調査を実施したもの。

文献や事例、インタビューをもとに調査を進め、さらに経営者や管理者など110人、企業の一般従業員3000人を対象にアンケートを実施し、報告書として取りまとめた。

アンケート調査を見ると、従業員が挙げた内部不正の犯行動機を高める要因としては、「不当に感じる解雇通告(34.2%)」「給与への不満(23.2%)」「人事評価への不満(22.7%)」など、組織における待遇面の不満が上位を占めた。

内部不正を防止する有効な手段については、管理者側と従業員側で考え方が異なっている。重要情報を特定従業員のみアクセス可能とするアクセス制御を有効な手段と考える管理者が20.9%にのぼり、最多だった。

一方従業員は、54.2%が「システムに操作記録が残ること」が抑止につながると回答。アンケートで同項目を有効と考える管理者はほぼ皆無で、21項目中19番目と下位の対策だった。

また「ログインIDやパスワードの管理徹底」は管理者、従業員いずれも上位に挙げた対策。実際に「ID」「パスワード」などアカウント情報の管理の甘さが、内部不正を誘発する原因になっていることも、インタビューで明らかになったという。

同機構では、技術面ではデジタルフォレンジックを実施して従業員へ通知し、運用面からアクセス権限を適切に設定することが有効だと指摘。組織内におけるソーシャルキャピタルの向上が重要だと説明している。

今後IPAでは、内部不正を防止する環境の整備に利用できる「組織における内部不正防止ガイドライン」を経営者やシステム管理者向けに作成し、2012年度中を目処に公開する予定。

(Security NEXT - 2012/07/17 ) このエントリーをはてなブックマークに追加

PR

関連記事

業界向け「セキュポリシーテンプレ」を公開 - 日本通販協会
「CODE BLUE 2024」の講演が決定 - 脅威関連から、AI、情報戦まで
盆休みにパッチ公開日が直撃 - 夏季休暇に向けて十分な備えを
個情委、東京電力グループ3社に行政指導
個人情報漏洩などの報告処理、前年比約1.7倍に - 指導や助言も大幅増
まもなくGW - 長期休暇に備えてセキュリティ対策の再確認を
AIシステムの安全な実装運用に向けたガイダンスを公開 - 米政府ら
個情委、四谷大塚に行政指導 - 子どもを守るため特に注意必要
Ivanti製品の侵害、以前のツールでは検証回避のおそれ
「セキュリティ10大脅威2024」 - 個人の脅威は順位表示を廃止