組織の内部不正に関する考察、IPAが報告書を公開

内部者の不正行為ではインシデント1件当たりの個人情報の流出数が大規模になることから、報告書では国内外での取り組みをまとめている。

[ITmedia]

　情報処理推進機構（IPA）は3月15日、国内外で実施されている内部不正防止に関する取り組み状況などを取りまとめた技術報告書「IPA テクニカルウォッチ 第6回」を公開した。

　組織の内部者による不正行為では情報の取り扱い権限が簡単に取得されてしまうことから、技術的な対策に限界があるという。報告書の調査では国内外の企業やセキュリティ機関などに聞き取りを行い、内部者が不正行為を働く動機や背景などの特徴、また、その対策方法をまとめた。

　例えば、米国はCERTプログラムで2001年から内部者の脅威について研究を始め、「Insider Threat Center」を設置。700事例の分析から、組織的、人事的、技術的に内部不正を防止するための方策を提示しているという。国内では取り組み事例が少ないものの、聞き取り調査から、職員が置かれている環境や組織に対する個人の意識などが、不正行為の発生に影響を与える可能性が推測されるという。

　日本ネットワークセキュリティ協会が実施している情報セキュリティインシデントに関する調査では、インシデント1件当たりの個人情報流出数が内部者の不正によるケースでは7万8457人に上り、不正アクセス（13万8492人）に次ぐ規模となっている。