第19回 過去10年の「情報セキュリティ10大脅威」にみる戦いの歴史：日本型セキュリティの現実と理想（4/5 ページ）

[武田一城，ITmedia]

ちょっとやそっとじゃ防げない内部不正

　そして、非常に奥が深く対策の難しい脅威が内部不正だ。記憶に新しいところでは、2014年7月に発生した委託先社員による大量の個人情報が漏えい事件だろう。その結果、この企業はその1件の事後対応だけで200億円以上のコストをかけざるを得なくなった。

　内部不正は、その事情に詳しい人が根拠や裏づけを持って組織の情報を漏えいさせることから、1件あたりの損害は非常に大きくなる。外部からの攻撃とは異なり、その発生件数は多くないものの、一度発生したらその被害は甚大であるだけに、企業にとって放置できるような軽いリスクではない。

　「セキュリティ10大脅威」では2013年に9位に初めてランクインし、その後は2014年がランク外（11位）、2015年2位、2016年8位となっている。2015年のみ上位にランクインしたのは、上述の社会的な事件の影響だろう。

　標的型攻撃事件は、その対策がそれなりに企業の手の届くものが多かったことから、脅威分析と対策を含めて定番化した。しかし、内部不正対策は難易度がさらに高く、抜本的な対策が非常に難しい。いったん事が起きても分析すら進まず、事件の風化とともに忘れ去られ、次の大事件が起きた時に同じ議論が繰り返される――という流れを止めることは難しいだろう。

グラフ：内部不正経験者の内訳（職務）、（出典：独立行政法人 情報処理推進機構「内部不正による情報セキュリティインシデント実態調査」）

　IPAが2016年3月3日に公開した「内部不正による情報セキュリティインシデント実態調査」には、非常に興味深い統計数値があった。報告書の14ページにある、「図6 内部不正経験者の内訳（職務）」がそれだ。内部不正をした人の51％がシステム管理者（内訳：専任18％、兼務33％）だったことに驚いたが、それ以上に驚いたのは経営層・役員の経験者が4.5％もいることだ（右グラフ参照）。

　これらの人々は一般社員が扱うことができない特別なアクセス権を持っている。それらの特権には理由があって、システムのメンテナンスや意思決定のための情報を得るために必要不可欠なものと思われることから、彼らは正規のプロセスを踏んで堂々とアクセスできるから始末が悪い。以前にこの連載で仮定の話として、「CIOの内部不正はどう防ぐか？」という問題を提起したが、IPAの調査結果をみると、それが仮定ではなく本当であったと分かる。予想通りとも言えてしまえるが、現実は筆者の想像以上に切迫しているということだろう。

　内部不正に関しては、筆者が参加している日本ネットワークセキュリティ協会（JNSA）の「組織で働く人間が引き起こす不正・事故対応WG」ワーキンググループなどの活動を踏まえて、さまざまな場所で繰り返し述べている。しかし、内部不正の抜本的な対策は人間の心をコントロールでもしない限りできない。もし、抜本的な対策があれば古代ローマのカエサルの暗殺や戦国時代の本能寺の変が起こることもなかったはずだ。