年々増加し続ける 内部犯行による情報漏えいのリスク
一般財団法人日本情報経済社会推進協会(JIPDEC)と株式会社アイ・ティ・アール(ITR)は、国内企業693社のIT/情報セキュリティ責任者を対象に共同で行った、「企業IT利活用動向調査2018」の結果を発表しました。
この調査で定点観測されているのが「過去1年間に認知した情報セキュリティインシデントの種類」です。今年の特徴的なインシデントとして、「公開サーバ等に対するDDoS攻撃」「外部からのなりすましメールの受信」の外部からの攻撃と並んで、「内部不正による個人情報の漏洩・滅失」の発生認知率上昇が報告されています。
また、「セキュリティリスクの重視度合い」を問う質問でも、「内部犯行による重要情報の漏洩・消失」を、「極めて重視しており、経営陣からも最優先で対応するよう求められている」と回答している企業が3年連続で増加しています。
内部犯行による情報漏えいは年々増加する傾向にあり、企業にとって早急な対応が求められるセキュリティリスクであるということが、この調査から明らかになっています。
公開されている事件は氷山の一角
内部不正による情報漏えい事件の発生は、大きく報道される傾向にありますが、その件数自体は多くありません。調査結果では、発生認知件数が増加しているにもかかわらず、事件が報道される件数が少ないことから見て、外部へ公表されている事件は、あくまでも氷山の一角であるといえるでしょう。
内部不正による情報漏えいは、企業の信用に関わる事件であり、事業の根幹を脅かしかねないこと、また捜査上の都合などから、社外へ公開されるケースはまれであり、その多くは、内部的に処理されているという事情がうかがえます。
報道されている件数が少なく大企業ばかりだからといって、内部不正への対策が必要ないと考えるのは、間違いです。内部犯行による情報漏えいのリスクは年々高まっており、企業の規模を問わず、早急な対策が求められています。
内部不正が発生するメカニズム
どのようなときに、内部犯行による情報漏えいが発生するのか、そのメカニズムを紐解くことで、対策を検討してみましょう。人が不正行為を実行するにいたるメカニズムとして、広く知られているのが、アメリカの犯罪学者ドナルド・R・クレッシー(Donald Ray Cressey)が導き出した「不正のトライアングル理論」です。
「不正のトライアングル理論」では、不正の発生する要素として「動機」「機会」「正当化」の3つがあるとしています。不正行為は、不正を行う「動機」があり、不正の「機会」が存在し、不正の実行を「正当化」できるという、3つの要素がすべて揃ったときに、発生するとされています。
◆動機
悩みの解決や希望の実現や、強いプレッシャーなど、不正行為を実行する主観的な事情です。
◆機会
形骸化したチェック機能や、過大な権限など、不正行為の実行を可能とする客観的な事情です。
◆正当化
不正行為の実行を積極的に是認する主観的な事情です。例えば、内部犯行による情報持ち出しの場合、以下のようなケースが考えられます。
◆動機
過剰な業務への対応を指示されている。
◆機会
大量のデータにアクセスできる権限を付与されている。
◆正当化
会社から正当に評価されていないのだから仕方ない。
このように、「動機」「機会」「正当化」の3つが揃った時に、不正行為が発生しやすくなるというのが、不正のトライアングルの考え方です。この「不正のトライアングル」を崩すことが、不正行為を減らすことにつながります。
不正のトライアングルのうち、「動機」と「正当化」は、あくまでも不正行為を実行する者の主観による部分が大きく、企業がコントロールすることが難しいという性格があります。
その反面、「機会」は実行者にとっては客観的な事情といえるため、不正行為を可能とする環境を無くしていくことで、歯止めをかけることができます。
これまで、内部不正の対策としては、コンプライアンス教育や、罰則を含めたルールづくりなど、人的な対応が広く行われてきましたが、これらは「動機」や「正当化」に対する打ち手です。
これに加えて、システムによる対策で不正の「機会」を無くし、小さな不正も見逃さない職場環境を構築することが、内部不正の防止策として有効であるといえます。
不正の「機会」を無くす、具体的な対策としては、端末管理の徹底や、操作ログの取得、適切なアクセス権限の付与などが考えられます。
近年、不正の「機会」として新たに注目されているのが、持ち込み端末によるセキュリティリスクです。
適切な端末管理ソリューションの導入でBYODの課題を解決できる
スマートフォンやタブレットなどのデバイスが広く普及し、日常的な利用が一般的になったことから、社員が持ち込んだ端末で業務を行うことを許容する、BYOD(Bring Your Own Device)を導入する企業が増加しています。
BYODは、使い慣れたデバイスを利用することによる業務効率アップだけでなく、テレワークやリモートワークなど、これまでと違う新しい働き方を取り入れられるなど、社員にとって大きなメリットがあります。
また、社員向けにデバイスを準備する必要がなくなることや、日常業務だけでなくBCP対策にも活用できるなど、企業にとっても導入するメリットがあります。
その反面、BYODの導入は、業務とプライベートを1つのデバイスに一本化することから、社員が持ち込む端末の申請受付や管理、セキュリティポリシーを維持するための対策など、企業にとって新たに検討しなくてはならない課題もあります。
また、新しいデバイスやアプリケーションが次々と登場し、日々変化する社員の利用環境に対応していくには、専門的なノウハウも必要となります。BYODを導入する企業の増加にともない、運用の効率化と、セキュリティの確保を実現できる、持ち込み端末管理ソリューションが登場しています。
これらの持ち込み端末管理ソリューションを導入することで、ノウハウを持たない企業でも、BYODの課題解決と、効率的かつ安全な活用を実現することができます。
持ち込み端末管理はBYODを禁止している企業こそ必要
BYOD を導入していない企業や、持ち込み端末の業務利用を認めていない企業であっても、実際には、社員の私用デバイスが業務利用されているケースが存在しています。社員持ち込みデバイスの業務利用は、シャドーITとも呼ばれ、企業の管理しない範囲で業務に利用されていることから、大きなセキュリティリスクを抱えています。
たとえば、社員の私用デバイスを自由に社内ネットワークに接続できる環境になっており、システム上も接続を検知できない場合、社内規定上で持ち込み端末の使用を禁止しているだけでは意味をなしません。
また、端末管理ソフトウェアを導入していても、管理対象の端末にエージェントなどと呼ばれる管理ソフトウェアが必要な場合、社員の私用デバイスを管理対象とすることはできません。
社員の私用デバイスが、社内ネットワークに接続されることを防ぐには、持ち込み端末管理ソリューションの導入が最適です。持ち込み端末管理ソリューションの導入により、社員の私用デバイスの接続を検知し、社内ネットワークから自動で排除することができます。
持ち込み端末ソリューションは、BYODを推進している企業が導入するもの思われがちです。
しかし、BYODを認めてない企業こそ、シャドーITのセキュリティリスクを排除するために、持ち込み端末管理ソリューションの導入を検討すべきです。
「不正のトライアングル」における「機会」にあたるシャドーITを排除することは、内部犯行を防ぐためにきわめて有効な対策といえるでしょう。