内部不正によるセキュリティ問題、管理者と社員の意識にギャップが存在

IPA調査によれば、内部不正によるセキュリティインシデントの対策では「効果的」と思う手段に大きなかい離がみられた。

» 2012年07月17日 19時18分 公開
[ITmedia]
「内部不正の気持ちを高めると考えられるもの」の回答(出典:IPA)

 情報処理推進機構(IPA)は7月17日、「組織内部者の不正行為によるインシデント調査」の報告書を公開した。内部不正によるセキュリティインシデントの対策では経営者やシステム管理者と社員との間に、意識の相違があることが分かった。

 それによると、内部不正について「効果があると思う対策」では経営者やシステム管理者が「重要情報は特定の職員のみアクセスできるようになっている」情報システムの管理者以外に情報システムへのアクセス管理が操作できないようになっている」を挙げた。一方、社員側では「社内システムの操作の証拠が残る」「顧客情報などの重要な情報にアクセスした人が監視される」が上位を占めた。

 社員側が効果的と考える回答は、経営者やシステム管理者では下位となり、意識のギャップがみられる。「経営者が講じる対策は社員への抑止力として必ずしも効果的に機能していない可能性がある」(IPA)という。なお、「社内システムにログインするためのIDやパスワードの管理を徹底する」という回答はともに上位に挙げられていた。

 社員向けの「内部不正の気持ちを高めると考えられるもの」の質問には、「不当だと思う解雇通告を受けた(34.2%)」「給与や賞与に不満がある(23.2%)」「社内の人事評価に不満がある(22.7%)」といった待遇面に関する不満が上位を占めた。

 これらの結果からIPAは、「デジタルフォレンジック(科学的な捜査手法)に対応して社員に不正の証拠が記録されていると通知すること、運用面としては、適切なアクセス権限を設定することがそれぞれ有効と思われる。組織内のソーシャルキャピタル(信頼関係を深めることで社会の効率性を高めるという考え方)も内部不正の防止に重要」と分析している。

 調査はアンケートで行われ、一般企業の社員3000人と企業の経営者や管理者110人から回答を得た。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ