内部者による不正アクセスに企業はどう立ち向かえばいいか?

EnterpriseZine / 2014年9月9日 0時0分

 9月3日、デロイトトーマツサイバーセキュリティ先端研究所は記者向け勉強会を開催し、内部者による不正アクセスについての現状や実効性のある対策について解説した。

■米国の調査では、サイバー攻撃の1/4は内部者によるもの

 「今回の不祥事はまったく青天の霹靂であり、社員はみな心を痛めています。しかしもう大丈夫です。同様のことを起こさないと社員全員から一筆もらっていますので」  

 これは特定の誰かの発言ではない。不正発覚後に経営者が言いがちなセリフを集約したものだ。良くも悪くも「不正を起こすような社員は(もう)いない」と信じ、必要な不正防止策を施さない。そしてまた不正が繰り返される。  

 米国における調査によると、サイバー攻撃の1/4は内部者によるものとある(日本では内部による不正の割合はこれより多いという見方もある)。内部不正は見過ごしてはならない問題だ。社員や関係者など人間を信じるだけではだめで、有効な対策を施す必要性がある。

 デロイトトーマツサイバーセキュリティ先端研究所 主任研究員 白濱直哉氏は不正の三大要素を挙げた。不正が発生する背景には不正を働くきっかけ「動機」があり、不正が可能となる環境「機会」があり、不正者が不正を正当化する理由「正当化」が存在するという。

 例えば経済状況の困窮や待遇への不満から「動機」がうまれ、権限管理や監視がずさんであるというような不用心な環境に「機会」があり、本人が「このくらいみんなやっている」「そもそもは会社の待遇が悪いのだから」と「正当化」してしまう心理があり、内部不正に至ってしまう。白濱氏は「不正のトライアングルを成立させない取り組みが必要です」と強調する。 

 白濱氏が示した内部不正対策チェックリストは以下の10項目。

■定義と責任の明確化

 1. 重要情報の定義及びアクセス権限者が明確化され、管理に関するルールがあるか
 2. 情報の責任者を明確にし、責任者はその責任を認識しているか

■重要情報の所在を明確にし、アクセス権限者を限定

 3. 情報のライフサイクルや業務フロー、データフローが管理され、どこにどのような情報が残るのか把   握しているか(システムが利用するテンポラリ等を含む)
 4. 重要情報が保存されたサーバー等へのアクセスが、許可されたもの以外から拒否されることを確認しているか
 5. 重要情報へのアクセスを改竄ができない仕組みで記録し、トレースが可能な状態か
 6. 退職者による不正を想定した退職プロセスが定義され、厳格に運用されているか

  • 前のページ
    • 1
    • 2
  • 次のページ
EnterpriseZine

トピックスRSS

ランキング