企業の内外に潜む情報流出の脅威 再考が求められる対策ITmedia エンタープライズ セミナー レポート(1/3 ページ)

従来の情報漏えい対策は、特定の脅威を焦点にしたものが主流だったが、現在では包括的なアプローチが求められようになった。ITmedia エンタープライズ編集部主催のセミナーでは、情報資産を適切に保護するための方法が多数紹介された。

» 2010年12月13日 07時50分 公開
[國谷武史,ITmedia]

 ITmedia エンタープライズ編集部が主催するソリューションセミナー「不正アクセスや内部犯行による情報流出を防ぐ全方位の対策」が12月1日に東京、8日に大阪で開催された。従来の情報漏えい対策は、企業の外部もしくは内部に存在する個々の脅威に備えるアプローチが主流だったが、現在は包括的なアプローチが求められるようになった。セミナーでは脅威の最新動向を交え、情報資産を保護するためのソリューションが紹介された。

甚大な被害を伴う内部の脅威

萩原氏 萩原栄幸氏

 冒頭の基調講演には、ITmedia エンタープライズの人気連載「会社に潜む情報セキュリティの落とし穴シリーズ」の執筆を手掛ける一般社団法人「情報セキュリティ相談センター」事務局長の萩原栄幸氏が登壇した。「あなたの会社は大丈夫? 組織内部に潜む犯罪の現実」と題する講演の中で、萩原氏は企業や組織における内部犯罪や内部不正の実態を解説した。

 「組織内部に起因する情報漏えいは少ないが、その影響は非常に大きい」(萩原氏)。日本ネットワークセキュリティ協会のレポートによると、情報漏えいの原因の大部分は人間の過失が占める。内部犯罪・内部不正行為が占める割合は1%ほどだが、1件当たりの漏えい人数は人間の過失の十倍以上にもなるという。

 一般的に内部犯罪や内部不正は、「悪意」を持った人間が行うものと思われがちだ。しかし萩原氏は、「善意」を持った人間が内部犯罪や内部不正行為の「予備軍」になる恐れがあると指摘する。例えばNRIセキュアテクノロジーズの調査では、規則で禁止されているにも関わらず自宅で仕事をするという回答者が7.4%に上った。こうした回答者は、仕事に熱心なあまりにルールを破ってでも仕事に取り組もうとする傾向にある。

 不正検査士でもある萩原氏は、情報セキュリティ問題をはじめとする数々の内部犯行や内部不正の調査に携わってきた。同氏によれば、ACFE(公認不正検査士協会)の統計分析では内部犯行や内部不正に及ぶ人間には14種類の特徴がみられるという。代表的なものは、「勤続年数が長い」「雇用主からの信頼が厚いが、同僚からは尊敬されない」「単独で業務をこなし、他人の関与をこばむ」などだ。ACFEは毎年この傾向を発表しているが、過去20年にわたってほとんど変化がない。

 内部犯行や内部不正の実態は、交通費を着服するようなものから、企業を倒産に追い込みかねないものまでさまざまだ。横領のような場合、不正行為の期間が長いほど事態が深刻になる。「半年以内なら数百万円ほどの被害だが、2年以上なら億単位になる。日本では犯行が明るみになるまで平均で1年半ほどかかっている」(萩原氏)

 しかし大半の犯行は関係者の間で内々に処理され、表面化することがないという。雇用主からの信頼が厚い人間や雇用主の親族が被疑者である場合が多く、調査をためらう管理職も少なくない。内部犯行や内部不正は、その兆候を見つけるのが非常に難しく、表立った調査を実施できないことが課題である。

 萩原氏は、内部犯行や内部不正への早期対応を図る方法として「内部通報制度」の活用を勧める。不正の兆候に気付いた従業員が社内の窓口に通報し、従業員の安全を確保した上で専門の担当者が対応する仕組みだ。米国では従業員1000人当たり年間8.3件の通報があるという。内部通報制度の運用では、不正行為に対して会社が毅然とした態度をとることを従業員に理解してもらう必要があり、迅速に対応することが重要である。内部通報制度が有効に機能していることを周知できれば、内部犯行や内部不正の抑止効果も期待される。

 被疑者にみられる特徴は統計分析の結果であり、萩原氏は「仕事に熱心な従業員が絶対に不正をするものではない」と忠告する。むしろ、膨大な量の業務を従業員に強いる環境が「善意」で仕事をしている従業員を追い込む結果になりないと同氏は警鐘を鳴らす。組織内部からの情報流出を防ぐには、技術的な対策を実施するだけでなく、不正行為をする人間を生ませない環境作りが肝心であるようだ。

 萩原氏は、情報セキュリティ担当者に業務の現場をきめ細かく巡回してほしいとアドバイスする。「異変や不正の兆候に気を配り、仕事の負担を抱える従業員をケアすることで、内部脅威のリスクを解決していただきたい」と話している。

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ