社内からの悪意による事故――内部不正への対策は？：セキュリティ対策は事前と事後をつなぐ時代（1/3 ページ）

企業の情報セキュリティ対策では、組織外からの脅威だけでなく、内部からの脅威にも対応しなければならない。しかし、内部への対策は企業の文化や風土も深く関係するだけに容易ではないだろう。今回はある企業が取り組んだ内部対策の様子を紹介する。

[尾崎孝章，デンカク]

本記事はセキュリティ事故への対策強化を考える連載の最終回です。前回はこちら。

　情報セキュリティでは、外部からの不正アクセスなどの対外的な取り組みはもとより、内部不正からの事故に対する備えも必要である。最近ではルート権限やアドミニストレータ権限を管理する情報セキュリティの要――いわゆる特権ユーザーによる事故も少なからず発生している。

　特に経営者は内部不正による事故の可能性を認識しつつも、「内部から悪意を持たれては防げない」という声も聞こえる。今回はこうした内部からの不正事故に対して、どのようにして管理していくべきかを、ある企業の改善事例を通じて紹介しよう。

（本記事に登場する事例、人物、組織は架空のものです。）

取引先での内部不正事故

　情報セキュリティアドバイザーのZ氏は、定期的に企業へ訪問してセキュリティの企業相談に乗っている。ある日、最近訪問するようになったシステム開発会社O社のA社長から取引先での内部不正事故の話を聞かされた。派遣先企業の1つであるB社で内部不正事故が起きたというものだ。聞くところによると、B社のシステム担当部長が特権アカウントを利用して経理データを改ざんし、個人で購入した品の代金を自らの立替金額にして上乗せするという横領だった。

　B社では経理データに対するアクセスログを別途サーバで取得していたため、経理処理の不整合が発覚してからアクセス日時やアクセスID名などをバックアップ側のアクセスログと照合調査し、システム担当部長を犯人として割り出したということであった。社内のPCサポートなどもこまめにこなすシステム担当部長は、B社内でも信任が厚かったそうで、「まさかこの人が！」というのが驚きの声がB社内であがったという。

　A社長は、これまでもニュースで内部不正による事故を聞いていたが、他人ごととして気に留めたことはなかった。しかし、取引先で起きた身近な事故は経営者として管理者による不正事故は不運としてあきらめるべきか、それとも何らかの対策は必要なのか、必要とするなら何をすべきかと考えさせられるきっかけになった。

　A社長は、社是に「信頼」の文字を入れ、経営者として人にどんどん仕事を任せていかなければ事業は拡大していかない。信頼し、任せることで社員も責任と役割が与えられ、やる気をもって仕事に取り組んでくれるという信念を持って経営してきた。O社で内部不正からのセキュリティ事故が発生すれば、A社長としての経営方針が否定されることになり、もちろん風評含めて大きなダメージを会社に与えるだろう。そこでZ氏に相談したのだった。