組織における内部不正とその対策 - ipa 独立行政法 …•...
TRANSCRIPT
組織における内部不正とその対策
2017年5月独立行政法人情報処理推進機構
技術本部 セキュリティセンター
Copyright © 2017 独立行政法人情報処理推進機構
目次
1. 内部不正に関する状況
– 報道から
– 実態調査から
2. 内部不正の起きる要因と対策
3. 内部不正防止ガイドラインについて
2
Copyright © 2017 独立行政法人情報処理推進機構
1. 内部不正に関する状況報道から:2016年度も相次いだ内部不正事件
報道月 事件の概要 不正行為者 動機
2016年6月
A市内のプロパンガス会社の社員(当時)が、同社の営業秘密である顧客情報等を不
正に取得し同業他社に開示したとして、不正競争防止法違反(営業秘密の領得、開示)の容疑で逮捕された。
退職者 所属する企業への不満
6月 B市の元職員が、同市が管理する特定健康診断の対象者名簿等、約13万件の個人情報を不正に持ち出したとして、同市個人情報保護条例違反の容疑で逮捕された。
退職者 不明
7月 C機構事務所の元契約職員が、C機構の持つ個人情報を不正取得したとして、独立行政法人個人情報保護法違反の疑いで逮捕された。
退職者 ストーカー行為をするため
11月 D社の業務委託先であるE社社員が、D社発注工事2件の設計金額に関する情報をF社に漏えいし、落札していた。E社社員とF社役員及び法人としてのF社は、不正競争防止法違反で略式起訴された。
委託先社員 受注活動を有利にしたかった
11月 G社の元契約社員が、顧客のクレジットカード情報を不正に使用し、利益(合計約270万円)を得たとして、不正競争防止法違反及び電子計算機使用詐欺の容疑で逮捕された。G社は自ら疑義のある取り引きを発見、内部調査を進めるとともに、警察に通報し、捜査に全面的に協力した。元契約社員は、2016年8月に懲戒解雇された。
退職者 不明
2017年1月
H区役所の元臨時職員が、勤務中に住民情報システムに接続し、個人情報を盗み
見て女性宅に侵入したとして、同区個人情報保護条例違反と住居侵入の疑いで逮捕された。
退職者 ストーカー行為をするため
2月 オンラインショップのプラットフォームを提供しているI社の元社員が、ネットショップの運営者情報を含む32,800件の個人情報及び営業関連データを無断で社外に持ち出していたことが判明した。
退職者 不明
2月 J社の元専務と元社員が、営業秘密にあたる製品の技術情報を漏えいしたとして、不正競争防止法違反(営業秘密侵害)容疑で逮捕された。
退職者技術者
製品を製造販売しようとした
(出典)報道事例を基にIPAが作成 3
Copyright © 2017 独立行政法人情報処理推進機構
1. 内部不正に関する状況報道事例:元社員による営業秘密不正取得
2015年1月、家電量販店AA社の元社員が退職前に事務所のパソコンに遠隔操作ソフトをインストールし、転職先(競業企業)のBB社の業務用パソコンから遠隔操作ソフト
を通じて不正に営業秘密にあたる情報を取得したとして不正競争防止法違反(営業秘密の不正取得)の容疑で逮捕された。
AA社
BB社
①退職前にパソコンに遠隔操作ソフトをインストール
②転職先のBB社から遠隔操作で営業秘密を不正取得
遠隔操作
取得した営業秘密の一部はBB社内で参照されていた
元社員
※元社員は2013年12月にAA社を退職後、2014年1月にBB社に転職。
退職後90日間アカウントが有効
元社員の20年来の元部下
メールで送付
2つのルート・遠隔操作・元部下を手引き
4
Copyright © 2017 独立行政法人情報処理推進機構
K社• 特別損失 260億円(情報セキュリティ対策、お客様への対応等)• 新規営業活動の一時停止• 役員2名(代表取締役副会長、取締役)の引責辞任
組織への影響
L社• 応札辞退• 指名停止: L社 6ヶ月、子会社5社 3カ月• 役員3名(執行役副社長1名、執行役常2名)減俸30%(1カ月)
BB社(AA社から営業秘密を持ち出したとして逮捕された元従業員の転職先)
• 不正競争防止法違反容疑で書類送検(AA社の営業秘密を転職者から不正取得したと判断。その後不起訴となった)
• 2016年4月、AA社は営業秘密の不正使用について、BB社に対し50億円の損害賠償を求める民事訴訟を起こす(現在審理中)不正競争防止法では、法人の従業員が業務に関して違反行為をした場合、法人に対しても5億円以下の罰金刑を科す。(両罰規定)
内部不正を発生させてしまった
内部不正を発生させてしまった 内部不正の影響は大きい
5
Copyright © 2017 独立行政法人情報処理推進機構
1. 内部不正に関する状況
内部者による営業秘密流出の実態
(出典)2012年度調査:経済産業省:「人材を通じた技術流出に関する調査研究報告書(2013年3月)」2016年度調査:IPA「企業における営業秘密管理に関する実態調査報告書(2017年3月)」
43.8%
24.8%
11.4%
7.6%
4.8%
3.8%
3.8%
2.9%
2.9%
1.9%
1.0%
4.8%
9.5%
0.0% 10.0% 20.0% 30.0% 40.0% 50.0%
現職従業員等のミスによる漏えい
中途退職者(正規社員)による漏えい
取引先や共同研究先を経由した漏えい
現職従業員等による具体的な動機をもった漏えい
外部からの社内ネットワークへの侵入に起因する漏えい
中途退職者(役員)による漏えい
取引先からの要請を受けての漏えい
外部者の不正な立ち入りに起因する漏えい
退職した契約社員による漏えい
退職した派遣社員による漏えい
定年退職者による漏えい
わからない
その他
(n=105)
2012年度調査では50.3%
2012年度調査では26.9%
2012年度調査では9.3%(微増)
• 営業秘密の流出者は、2012年度調査では「中途退職者」が最多(50.3%)であったが、2016年度調査では「現職従業員等のミス」によるものが最多(43.8%)。
• 中途退職者向け対策が進んだ企業が増えたと推測。
Copyright © 2017 独立行政法人情報処理推進機構
32.4%
11.4%
10.5%
4.8%
22.9%
30.5%
0.0% 5.0% 10.0% 15.0% 20.0% 25.0% 30.0% 35.0%
国内の競業他社
国内の競業他社以外の企業
外国の競業他社
外国の競業他社以外の企業
わからない
その他
• 営業秘密の漏えい先は「国内競業他社」が32.4%と最も多い。
• 22.9%の企業が漏えい先が「わからない」と回答。漏えい先を把握できていない。
1. 内部不正に関する状況
内部者による営業秘密流出の実態
(出典)2016年度調査:IPA「企業における営業秘密管理に関する実態調査報告書(2017年3月)」
インターネット上に掲載されてしまった、社内の他部署の従業員等に開⽰されてしまった等
漏えい先を把握できていない
(n=105)
7
Copyright © 2017 独立行政法人情報処理推進機構
(出典)2016年度調査:IPA「企業における営業秘密管理に関する実態調査報告書(2017年3月)」アンケートデータを基に作成
32.4%
11.4%
10.5%
4.8%
22.9%
30.5%
25.7%
7.6%
4.8%
4.8%
18.1%
25.7%
0.0% 5.0% 10.0% 15.0% 20.0% 25.0% 30.0% 35.0%
国内の競業他社
国内の競業他社以外の企業
外国の競業他社
外国の競業他社以外の企業
わからない
その他
全体 内部不正
• 営業秘密の漏えい先は「国内競業他社」が32.4%と最も多い。
• そのうち、内部不正による漏えいが多くを占める。
1. 内部不正に関する状況
内部者による営業秘密流出の実態
インターネット上に掲載されてしまった、社内の他部署の従業員等に開⽰されてしまった等
漏えい先を把握できていない
(n=105)
8
Copyright © 2017 独立行政法人情報処理推進機構
内部不正による情報セキュリティインシデント実態調査(2016年3月3日公開)• 調査方法:Webアンケート
• 調査対象:
– 業種別・従業員数別に抽出した民間企業における従業員等3,652名– 内部不正を行った経験がある者(内部不正経験者)200名
• 調査期間:2015年11月25日~30日• 主な調査項目:
– 回答者の企業属性・個人属性および企業状況
– 情報セキュリティインシデントの発生状況(内部不正も含む)
– 内部不正対策の実施状況
– 内部不正発生時の対応
– 経営者・システム管理者と従業員の意識
• その他:内部不正による被害を経験した企業へのインタビュー等を実施
1. 内部不正に関する状況実態調査から:調査概要
出典が示されていないグラフ等はすべて、当該調査結果によるもの。
各グラフには報告書の頁数、図番を示す。
9
Copyright © 2017 独立行政法人情報処理推進機構
1. 内部不正に関する状況 実態調査から:
内部不正の発生状況
• 所属する企業組織で外部攻撃や内部不正が発生しているかどうか (報告書 P.12 図1)
•
5.4%
1.6%
66.6%
26.8%35.2%
42.5%
8.6%
18.5% 外部攻撃があった
内部不正があった
外部攻撃や内部不正は
発生していない
わからない
外部攻撃があった
内部不正があった
外部攻撃や内部不正
は発生していない
わからない
300名以上(N=1,278) 300名未満(N=2,374)
10
Copyright © 2017 独立行政法人情報処理推進機構
1. 内部不正に関する状況 実態調査から:
内部不正の詳細(内部不正経験者)
• 内部不正経験者が起こした内部不正の詳細 (報告書 P.15 図9)
(複数回答)11
Copyright © 2017 独立行政法人情報処理推進機構
1. 内部不正に関する状況 実態調査から:
内部不正を行った理由(内部不正経験者)
• 故意ではない違反が多いが、故意も一定程度存在(報告書 P.16 図10)
40.5%
17.5%
16.0%
11.0%
7.0%
3.5%
3.0%
1.5%
ルールを知っていたがうっかり違反した
ルールを知らずに違反した
業務が忙しく、終わらせるために持ち出す
必要があった
処遇や待遇に不満があった
ルールはあったが、ルール違反を繰り返して
いる人がいたので、自分もやった
持ち出した情報や機材で転職や企業を
有利にしたかった
企業・組織や上司などに恨みがあった
持ち出した情報や機材を換金したかった
内部不正経験者(N=200)
故意による内部不正
(単数回答)12
Copyright © 2017 独立行政法人情報処理推進機構
• 情報の持ち出しには、USBメモリ、電子メールが多く用いら
れる (報告書 P.19 表10を編集)
組織での対策はUSBメモリ等の外部記録媒体に関する利用ルールの徹底、および利用制限が有効と考えられる
1. 内部不正に関する状況 実態調査から:
故意の情報持ち出しの行為者・動機・対象情報・手段(内部不正経験者)
項⽬
⾏為者 システム管理者 23.5% 技術者・開発者 22.1% 経営層・役員 17.4%
不正⾏為の動機
業務が忙しく終わらせるため持ち出した
38.1%処遇や待遇に不満があった
26.1%持ち出した情報や機材で転職を有利にしたかった
16.7%
対象情報 顧客情報 48.3% 技術情報 36.9% 営業計画 32.9%
持ち出し⼿段 USBメモリ 53.0% 電⼦メール 28.9% 紙媒体 18.8%
1位 2位 3位
故意の不正行為経験者のみ(n=98、「不正行為の動機」はn=84) 「不正行為の動機」以外は複数回答
13
Copyright © 2017 独立行政法人情報処理推進機構
1. 内部不正に関する状況 実態調査から:
情報持ち出し手段への対策状況
しかし、有効と考えられる対策について、“方針やルールがない”企業も (報告書P.22 図17、P.24 図18より一部抜粋)
13.2
12.2
53.2
54.0
16.0
18.6
14.0
13.6
20.6
21.4
8.9
9.7
34.8
34.2
10.6
9.7
15.4
13.6
13.3
13.0
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
モバイル機器やUSBメモリ等の記録媒体を外部に持ち出す場合には、
持ち出しを承認し記録等を管理している
私物のモバイル機器、記録媒体の持ち込みおよび業務利⽤を制限している
モバイル機器やUSBメモリ等の記録媒体を外部に持ち出す場合には、
持ち出しを承認し記録等を管理している
私物のモバイル機器、記録媒体の持ち込みおよび業務利⽤を制限している
①⽅針やルールはない ②⽅針やルールがある(実施なし)
③②に加えてに実施あり(確認なし) ④③に加えて定期的に確認している(監査を含む)
⑤わからない
300名以上(n=500)
300名未満(n=1,000)
14
Copyright © 2017 独立行政法人情報処理推進機構
1. 内部不正に関する状況 実態調査から:
内部不正を行った者への処分の状況
30.9
51.7
13.4
10.7
9.4
0 10 20 30 40 50 60
懲戒処分や起訴はしなかった
社内規定に従い懲戒処分とした
警察に相談した(被害届を出した)
刑事告訴・告発した
民事訴訟した
(%)
• 内部不正を行った者へ処分や起訴はしなかったという回答が3割(報告書 P.36 図33)
15
Copyright © 2017 独立行政法人情報処理推進機構
1. 内部不正に関する状況 実態調査から:
懲戒や起訴をしない理由
41.3
32.6
30.4
30.4
23.9
19.6
10.9
2.2
0.0
0.0
0.0
2.2
0 10 20 30 40 50
懲戒処分や起訴ほどの被害が出なかった
証拠がない・情報が不足している
風評被害などイメージダウンとなることを懸念した
自社に対する信用失墜を懸念した
不正行為を行った個人を特定できなかった
公になることで競合他社が優位になることを懸念した
処分対象の従業員が退職されると困る
起訴の手続きがわからなかった
警察・法的機関から事前に起訴を否定された
懲戒処分や起訴できることを知らなかった
法的機関から国家安全保障に関連するといわれた
その他
(%)
• 十分な証跡が取れておらず、処分ができなかった可能性(報告書 P.36 図34)
16
Copyright © 2017 独立行政法人情報処理推進機構
• 経営者等が重要視していない対策が内部不正行為の抑止に有効(報告書 P.42 表13)
1. 内部不正に関する状況 実態調査から:
内部不正防止に有効と考える対策の比較
内部不正経験者対策
経営者・システム管理者
順位 割合 順位 割合
1位 50.0%ネットワークの利用制限がある(メールの送受信先の制限、Webメールへのアクセス制限、Webサイトの閲覧制限がある)
2位 30.3%
2位 46.5% 技術情報や顧客情報などの重要情報にアクセスした人が監視される(アクセスログの監視等を含む)
4位 27.0%
3位 43.0% 技術情報や顧客情報などの重要情報は特定の職員のみがアクセスできる
1位 43.9%
4位 25.0% 職務上の成果物を公開した場合の罰則規定を強化する
12位 12.8%
5位 23.5% 管理者を増員する等、社内の監視体制を強化する 11位 13.1%
(内部不正経験者:n=200、経営者・システム管理者:n=1500) 17
Copyright © 2017 独立行政法人情報処理推進機構
・正当に評価がされない・サービス残業・会社がわるい
・正当に評価がされない・サービス残業・会社がわるい
• 内部不正は 「動機・プレッシャー」「機会」「正当化」の3要因が揃った時に発生する
※ ドナルド・R・クレッシー(米国の組織犯罪研究者)による
動機・プレッシャー
不正行為に至るきっかけ、原因:処遇への不満やプレッシャーなど(業務量、ノルマ等)
機会不正行為の実行を可能、または容易にする環境:IT技術や物理的な環
境及び組織のルールなど
正当化自分勝手な理由づけ、倫理観の欠如:
都合の良い解釈や他人への責任転嫁など
× ×
・広いシステム管理権限・持ち出し可能な環境・同じ業務を長期間担当
・広いシステム管理権限・持ち出し可能な環境・同じ業務を長期間担当
・人事に不満・金銭問題を抱えている・高いノルマを課されている
・人事に不満・金銭問題を抱えている・高いノルマを課されている
2. 内部不正の起きる要因と対策
内部不正を生み出す3要因:不正のトライアングル
18
Copyright © 2017 独立行政法人情報処理推進機構
内部不正防止対策
• 組織対策として重要なこと =「動機・プレッシャー」と「機会」の低減
動機・プレッシャー動機・プレッシャー 機会機会 正当化正当化
職場環境整備、不満の解消等
監視・不正行為の抑止(必ず見つかる、利益にならない)
技術対策アクセス管理、
ログ管理、暗号化等
モニタリング、通報制度等
・・・
組織対策体制、
内部統制、法令遵守強化等
3要因を低減3要因を低減
動 機 機
機機
組織として能動的に低減できるのは動機と機会
正誓約書署名等
2. 内部不正の起きる要因と対策
内部不正防止対策は3要因の低減
19
Copyright © 2017 独立行政法人情報処理推進機構
状況的犯罪予防※の5原則
1. 犯行を難しくする
2. 捕まるリスクを高める
3. 犯行の見返りを減らす
4. 犯罪の誘因を減らす
5. 犯罪の弁明(言い訳)を許さない
※犯罪学者のCornish & Clarke(2003)が提唱した都市空間における犯罪予防の理論。主眼: 監視者設置等で外部からのコントロールが可能な「環境」を適切に定める
犯罪機会・動機を低減し、予防する犯罪予防策直接的に犯罪を防止する対策間接的に犯罪を防止する対策
2. 内部不正の起きる要因と対策
状況的犯罪予防
20
Copyright © 2017 独立行政法人情報処理推進機構
状況的犯罪予防の考え方を内部不正防止に応用した5原則
1. 犯行を難しくする(やりにくくする)対策を強化することで犯罪行為を難しくする
2. 捕まるリスクを高める(やると見つかる)管理や監視を強化することで捕まるリスクを高める
3. 犯行の見返りを減らす(割に合わない)標的を隠したり、排除したり、利益を得にくくすることで犯行を防ぐ
4. 犯行の誘因を減らす(その気にさせない)犯罪を行う気持ちにさせないことで犯行を抑止する
5. 犯罪の弁明をさせない(言い訳させない)犯行者による自らの行為の正当化理由を排除する
「機会」を低減
「正当化」を低減
「動機」を低減
2. 内部不正の起きる要因と対策
状況的犯罪予防から応用
21
Copyright © 2017 独立行政法人情報処理推進機構
顧客データベース等
適切なアクセス権限管理最小権限の原則、重要情報への
アクセスを制限
重要情報へのアクセスを制限
ログの記録と定期的な監査・監視
操作ログ
内部不正の抑止罰則規定の強化
㊙ 持ち込み禁止
承認、記録
持ち出し
承認済営業秘密
一般情報
ICカード、バイオメトリックス認証
内部不正対策の継続した見直し、改善
未承認PC未承認モバイル
アクセス権限者
ルール化と周知徹底私物の業務利用、記録媒体等の
持ち出しルール等
やりにくくする やると見つかる割りに合わない
その気にさせない
言い訳させない
2. 内部不正の起きる要因と対策
内部不正対策をはじめよう
22
Copyright © 2017 独立行政法人情報処理推進機構
(出典)IPA「ランサムウェアの脅威と対策 ~ランサムウェアによる被害を低減するために~」
2. 内部不正の起きる要因と対策
内部不正対策は一石二鳥?!• 外部攻撃やランサムウェア対策にも有効
– 「適切なアクセス権限管理」は、内部不正をやりにくくする対策としても有効
(例)「適切なアクセス権限管理」により、ランサムウェアから守られている図
23
Copyright © 2017 独立行政法人情報処理推進機構
①対策の指針、ポイントを理解する
リスクに対する具体的な対策を立案するためのヒント
組織における内部不正防止ガイドライン
※JNSA:特定非営利活動法 人日本ネットワークセキュリティ協会
https://www.ipa.go.jp/security/insider/index.html
②具体的な実施策を立案する製品・ソリューションを検討
参考)JNSA※
内部不正対策ソリューションガイド
内部不正ガイドラインの30の対策項目を
実現するための製品やサービスをまとめたソリューションガイド。
内部不正チェックシート(付録)
http://www.jnsa.org/solguide/index.htm
3. 内部不正防止ガイドラインについて
組織における内部不正防止ガイドラインのご紹介
• 内部不正を防止するための環境整備に役立てて頂くためのガイドライン。
• 内部不正チェックシートで現状の対策状況を把握。
第4版
24
Copyright © 2017 独立行政法人情報処理推進機構
情報セキュリティマネジメント試験
◆試験実施⽇◆
・個⼈情報を扱う全ての⽅・業務部⾨・管理部⾨で情報管理を担当する全ての⽅
◆受験をお勧めする⽅◆
IT利⽤部⾨の情報セキュリティ管理の向上に役⽴つ国家試験あらゆる部⾨で必要な、情報セキュリティ管理の知識を体系的に習得できます。
年2回実施(春期・秋期)春期: 4⽉第三⽇曜⽇秋期:10⽉第三⽇曜⽇
パソコンを利⽤して受験するCBT⽅式なので、都合の良いときに受験可能!お申込みはiパスWebサイトで常時受付中!
公式キャラクター
上峰
亜衣
(
うえみね
あい)
すべての社会⼈・学⽣「iパス」は、ITを利活⽤する
が備えておくべきITに関する基礎的な知識が証明できる国家試験です。
試験の主なメリット
仕事に役⽴つ セキュリティに強くなる 就職に役⽴つ
戦略、財務等幅広い出題
セキュリティを積極出題
エントリーシート等活⽤