3つの要因による内部犯行の情報漏えいとその対策|サイバーセキュリティ.com

3つの要因による内部犯行の情報漏えいとその対策



近年は企業や組織における個人情報などの漏えい事件がたびたび発生し、問題となっています。個人情報のインターネット上や、名簿業者等への流出による不正利用、また情報の紛失などの事例は、枚挙にいとまがありません。

内部要因による情報漏えい

この個人情報の漏えいの原因は、実は8割が「内部要因」によるものと言われています。内部要因とはつまり組織内部の人間が原因となっているということです。

多くの企業で、入退室のICカード化による物理的なセキュリティ強化や、ファイアウォールや不正侵入検知装置(IDS)の設置によるネットワーク不正侵入の防止など外部からの侵入やアクセスに対しては様々な対策を実施しているにも関わらず、情報漏えい事件が後を絶たないのも実はそこに原因があります。

では内部要因による情報漏えいにはいったいどういったものがあるのでしょうか。それは例えば以下のようなものになります。

  1. USBメモリなどの記憶媒体の紛失・盗難によるもの
  2. PC等の紛失・盗難によるもの
  3. 意図的な情報の持ち出し(紙・電子媒体)

1と2は過失によるもので、3は故意に行ったことであるとの違いはありますが、結果的に情報の漏えいにつながるところは同じです。

対策とその重要性

では、こういった内部要因における情報の漏えいをなくすためにはどうすれば良いのでしょうか。

対策としては情報セキュリティの3要素である「機密性」「可用性」「完全性」に示されているように、情報を扱うに適切な利用者のみがその情報にアクセスし、適切でない利用者が絶対にアクセス出来ないようなシステムにすることです。

2014年7月のベネッセによる情報漏洩事件では自社ではなく外部委託先のSEが個人情報にアクセスし流出させています。しかし、本来であれば、自社の重要な個人情報には委託先の社員はアクセス出来なくすべきでした。

もう一つ同じように重要なことは、情報を利用する側にたつ利用者に対する教育です。個人情報の持つ重要性と、それが組織外に流出したときに何が起こるか、組織としての社会的信用の失墜に繋がること、そして、個人に対しても損害を与えてしまったことに対する賠償責任が発生する可能性があること、様々な観点から教育と啓蒙を行って、個人情報を扱う際にどのような心構えを持って対処するかを理解させます。

それに加えて、最近言われていることはシステムに操作等の記録を監視する仕組みを設けることが重要であるということです。例えば、顧客情報を扱うデータベースへのアクセス記録が常に監視され、残されている、などといったものです。

こういったシステムの操作記録が残る場合、不正にアクセスし情報を取得するという気持ちがなくなると答えている社員が多いと情報処理推進機構(IPA)が2012年に公表した「組織内部者の不正行為によるインシデント 調査の結果」にも示されています。

おわりに

重要なことは、情報漏洩においては内部要因による流出というものを外部要因と同じかそれ以上に対策を行うべきこととして理解しておくことです。


セキュリティ対策無料相談窓口


「セキュリティ対策といっても何から始めたら良いかわからない。」「セキュリティ対策を誰に相談できる人がいない。」等のお悩みのある方、下記よりご相談ください。

無料相談はこちら

SNSでもご購読できます。