認識不足が招く組織内部からの情報漏えい、知られざる実態と取り組むべき対策とは？

情報漏えい対策ではサイバー攻撃など組織外部の脅威に注目しがちだが、IPAの調査では組織内部の関係者に起因する脅威への対策が進まず、深刻な事態に陥りかねない状況にあることが分かった。組織関係者による情報漏えいの実態から、企業や組織が講じるべき対策を紹介する。

[PR／ITmedia]

PR

　情報セキュリティ事故に関する近年の報道では、サイバー攻撃などの脅威がセンセーショナルに取り上げられ、企業や組織の情報漏えい対策でも外部脅威に備える取り組みが関心を集めている。当然ながら情報漏えいは、外部脅威だけでなく組織関係者の行為によっても発生するが、情報処理推進機構（IPA）が2016年3月に公表した「内部不正による情報セキュリティインシデント実態調査」の報告によると、企業や組織では内部不正対策が意外なほど進んでいないのが実態だ。

「わが社は大丈夫」と、内部脅威を認識せず

　IPA情報セキュリティ分析ラボラトリーの益子るみ子調査役によると、内部不正に起因する情報漏えいは、サイバー攻撃などの外部脅威に起因するケースに比べて少ないものの、実際には被害が継続的に発生して組織のセキュリティリスクになっていると指摘する。

　調査結果をみると、従業員300人以上の組織において外部攻撃による情報漏えいを経験した割合は18.5％、内部不正では8.6％だったが、内部不正の事実を公開すると答えた組織は21.0％にとどまる。また、300人未満の組織では26.8％が、攻撃や内部不正の発生の有無を「分からない」と答えた。

情報処理推進機構 技術本部 セキュリティセンター 情報セキュリティ分析ラボラトリー 調査役 益子るみ子氏

　「回答者へのインタビューからは、『業務委託先の従業員が顧客情報をCD-ROMへ不正にコピーしていた』『処遇に不満を持つシステム担当者が取引先のシステムを破壊した』など、報道されない実例が幾つも挙げられました。内部不正は事業の根幹を脅かしかねず、公表もされないため、その脅威が広く認識されているとはいえません」（益子氏）

　内部不正をする理由では、「ルールを知っていたが、うっかり違反した」「ルールを知らず違反した」などの過失が58％、「多忙だった」「不満があった」などの故意が42％に上る。情報を持ち出す手段では情報の種類に関わらずUSBメモリなどの外部記録媒体やメールが8割以上を占めるが、紙媒体も2割近くあった。また、内部不正経験者の51％をシステム管理者が占めていることも分かった。

　情報の管理や取り扱いに関する規定やルールを整備している組織は多い。しかし、うっかりミスのような過失による不正行為が約6割を占める状況をみると、規定やルールが順守されているとは言い難いし、業務データの不正な持ち出しを防ぐ対策も十分に講じられているとはいえないだろう。

　もし、故意による不正行為から機密情報が漏えいすれば、組織が被る影響ははかりしれない。IPAの調査からは、多くの組織が内部不正のリスクに直面しながらも、その脅威を十分に認識しておらず、適切な対策に取り組めていない様子がうかがえる。

内部不正対策に組織全体で取り組むべし

　このような実態から益子氏は、組織のトップが内部不正による情報漏えいのリスクを正しく認識し、組織全体で対策に取り組むべきと指摘する。

　内部不正対策の大原則は、組織のトップが率先して関与しながら不正行為をさせない組織を作り上げていくことだという。ITや人事、経営管理などの部門が横断的に連携しながら、セキュリティ教育や研修、啓発を通じて従業員や組織関係者の意識を継続的に高めつつ、不正行為の温床になりかねない職場環境（長時間労働や待遇への不満、人間関係など）を改善する。それと同時に、監視や技術的対策も講じながら不正行為をさせない環境を整備していく。

　「調査によると、経営者・システム管理者は、内部不正の防止に有効な方法として罰則の強化や監視体制をあまり重視していない一方、内部不正経験者では上位に挙げられました。不正行為を抑止する上では、情報へのアクセス権限を最小にし、操作内容などのログを記録することによって、『常に監視されている』と認識させることが有効だといえます」（益子氏）

内部不正に効果的だと思う対策の比較（内部不正経験者と経営者・システム管理者） 出典：情報処理推進機構「内部不正による情報セキュリティインシデント実態調査」調査報告書

　組織が内部不正対策に取り組むにあたっては、まずこうした内部不正経験者と経営者・システム管理者で有効な対策の認識に違いがあることをしっかりと把握し、不正行為を思いとどまらせるのに有効な対策を実施する。また不要な情報をデータベースやファイルサーバなどに残したままにせず、私物端末の利用や外部記録媒体への情報の持ち出しなどについてルールを作り、従業員や委託先社員など関係者に周知徹底させる。

　こうした対策を継続的に見直しながら改善を図り、そもそも内部不正が「やりにくい」「見つかる」「割に合わない」「その気にならない」「言い訳できない」組織環境にしていくことが肝心だ。

---

顔認証でPCの操作者を監視

　内部不正を防ぐ環境づくりでは、人と技術の両面から対策を講じる。特に技術的な対策は、教育や啓発といった対策ではカバーできない部分を補完し、取り組みを着実に進めていく上でも欠かせない。ここからは、先進的なセキュリティ技術やオフィスのIT環境に関する豊富な知見があるNECの製品を活用した対策を見ていこう。

　まず、不正行為を抑止する方法として挙げられた継続的な監視では、従業員や関係者が業務で日々利用するPCの対策がポイントになる。「操作を見られている」という心理的な効果によって不正がしにくくなるが、監視が行き過ぎてストレスにつながると、業務効率の低下といったデメリットも生じてしまう。

　NECが提供する「顔認証ログオンセット」は、世界ナンバー1の精度^※を誇る顔認証技術を利用してユーザーに負担をかけることなく、PC操作時のセキュリティレベルを高められる点が特長だ。

※米国政府機関主催のコンテストでトップ評価を獲得

　事前に顔の画像を登録しているユーザーがPCにログオンする際、内蔵カメラや外付けカメラに自身の顔を映すと、顔認証ソフト「NeoFace Monitor」が認証を行い、すぐに操作を始められる。PCを操作している間は常時監視を行い、ユーザーがPCの前から離れて認証ができなくなると画面をロックする。ユーザーが席に戻り、カメラに顔を映すと、画面のロックが解除される仕組みだ。

PCのカメラに顔を映すだけでログオンやロック解除、常時監視が可能になる

　また、顔認証とパスワードを組み合わせた二要素認証にも対応しており、従来の認証方法と顔認証を組み合わせることによって、不正ログオンへの対策も強化できる。認証に失敗した顔画像はログとして記録されるため、不正なログオンが疑われる際の調査などに役立つ。

　顔認証ログオンセットには、データ漏えい防止ソフトウェア「DeviceLock DLP Suite」も含まれている。USBメモリやスマートフォンなどの外部接続機器へのデータのコピーやメールへのファイル添付を禁止し、PCからの不正なデータの持ち出しをブロックする。のぞき見防止フィルターやPCの盗難を防ぐセキュリティワイヤーもセットになっており、物理的なセキュリティリスクへの対策も可能だ。

　内部不正対策ではITによる仕組みを複合的に講じる必要があるが、各種のセキュリティ製品をバラバラに導入してしまうと対策に抜けや漏れが生じかねない。NEC パートナーズプラットフォーム事業部 シニアエキスパートの宮原文之氏によれば、「オフィスのPCに必要な製品を組み合わせることで、セキュリティ担当者が効率的に内部不正対策へ取り組めるよう支援します」とのことだ。

PCでの内部不正対策に必要な仕組みが揃っている「顔認証ログオンセット」

　顔認証ログオンセットを利用することで、PC利用時の不正行為を抑止するための技術的な対策を講じることができ、担当者は対策の効率化によってできた時間を使って従業員教育やルール・規則の整備といった作業に集中できるようになるだろう。

紙媒体の不正行為も抑止せよ

　PCでの対策に加えて、PCから出力される紙文書やデータの置き場であるファイルサーバでも不正行為を抑止する対策を講じる必要がある。そこでNECが提供しているのが、「印刷セキュリティセット」と「NEC Information Assessment System」（NIAS）だ。

　IPAの調査では、機密情報の持ち出し経路の8割を外部記録媒体やメールが占めたが、残り2割を占める紙文書にも注目すべきだろう。NEC パートナーズプラットフォーム事業部マネージャーの武田勝氏は、「以前からオフィスのペーパレス化が推奨されているものの、いまも多くの情報が紙文書でも扱われ、情報漏えいの主な経路の1つになっています」と指摘する。

　印刷セキュリティセットは、こうした文書データの印刷を「誰が」「いつ」「どこで」行ったのかをログデータとして記録する。PC単位でこれらの操作を保存し、万一の場合もログデータを追跡調査などに利用できる。また、専用の無償アプリを使えば、プリンタから出力される紙文書には地紋印刷がなされ、これをコピーすると「機密情報」「複製は禁止です」といった任意のメッセージの地紋が目立つ形で浮かび上がり、コピーした人物に警告を与える。

出力された紙文書（左）に「コピー禁止」の地紋が埋め込まれ、コピーすると浮かび上がる（右）

　プリンタなどの複合機側でもこうした対策機能は提供されているが、印刷セキュリティセットは顔認証ログオンセットと組み合わせることで、PCからプリンタ、紙文書までの不正行為の抑止策を包括的に講じられるのが特長だ。

　同セットでは、PCで利用できるスタンドアロン版と、部署単位で導入しやすいサーバ版の2種類があり、印刷操作のログを記録するソフトウェアとして、スタンドアロン版には「MyLogStar 3 DeskTop」、サーバ版には「ALog ConVerter」を用意している。

印刷セキュリティセット（サーバ版）　PCから印刷される紙文書まで内部不正をさせない環境を講じられる

ファイルサーバ内のデータも“見える化”

　ファイルサーバ統合管理ソフトのNIASは、ファイルサーバに保管されているデータの可視化とアクセスを管理する機能を提供する。

　内部不正対策では、つい「PCやプリンタで不正行為をさせなければ、社内のファイルサーバからは持ち出せないだろう」と思いがちだが、ファイルサーバには既に使われなくなったデータも含めてさまざまなデータが置かれている。

　内部不正をさせないためには、そもそも持ち出される恐れのあるデータを可能な限り減らすことが肝心だ。ファイルサーバのデータについてもきちんと状況を把握し、不要なデータを削除したり、適切なアクセス管理を実施したりする必要がある。本記事と関連してNIASの効果について検証した記事も近日公開するので、ぜひ注目いただきたい。

---

　組織内部からの情報漏えいを防ぐために取り組むべき施策は実に多いが、着実に進めなければそのリスクはいずれ現実のものになる。組織全体のセキュリティレベルを高めていく上で、特に技術的な対策は各種取り組みの継続的な効果を支援し、セキュリティ担当者の負荷を軽減させるためにも欠かせない。内部不正対策のポイントを確認しながら、顔認証ログオンセットや印刷セキュリティセットのような方法を活用して、着実な取り組みを進めていただきたい。

各製品についてのお問い合わせ

『顔認証ログオンセット』

　お問い合わせフォーム：http://jpn.nec.com/bpc/sol

『印刷セキュリティセット』

　メールアドレス：multiwriter-linux@bpc.jp.nec.com

『ファイルサーバ統合管理ソフトウェアNIAS』

　NEC ファーストコンタクトセンター

　電話番号：03-3455-5800

　月曜日〜金曜日（祝日およびNECの休日を除く）

　9:00〜12:00 / 13:00〜17:00