見出し画像

「社内は身内ではない」内部不正対策とは

ISOプロ/ISO・HACCPコンサルティング

ソフトバンクは、2019年末に同社を退職して楽天モバイルに転職した元社員が、不正競争防止法違反の疑いで逮捕されたというニュースが今年の12日に報道されました。秘密保持契約を結んでいたにも関わらず、ソフトバンクの営業秘密を不正に持ち出し、翌日に楽天モバイルに転職したからです。

すごく衝撃的なニュースで、従業員の情報リテラシーについて考えさせられました。
どうしても社内の人間は“身内”という意識になってしまうため、内部不正対策は外部からの不正アクセス対策よりもおろそかになりやすいそうです。
また、新型コロナウイルスによる働き方の変化から、テレワークによる環境においてはオフィス勤務による「仲間の目」がないため内部不正対策の必要性がより高まってきています。


今回は、内部不正の管理策のひとつである「否認防止と責任追跡性のシステム上」のことと「人的資源セキュリティ」の2点についてお話していきたいと思います。


否認防止と責任追跡性とは

・否認防止とは
システムの利用・操作・データの送信などのセキュリティ上重要な行動をしたことを、行動した本人が後になってから否定できないように、操作ログや署名を取得することを確実にすること。
簡単に言えば、本当はやったのに「やってないよ!」と言い張れないようにするために、証拠を残したり、記録を取ったり、手を打っておくことです。

例えば、通信ログを改ざんできない形で残したり、タイムスタンプやIPアドレス技術を用いて「そのデータ操作をいつ行ったのか」という記録を取ったり、デジタル署名を用いて本人に認証させることが否認防止の具体的な対策になります。

このように後から責任を追及できるように証拠を残しておくことが否認防止です。

・責任追跡性とは
情報資産に行われた、ある操作についてユーザと動作を一意に特定でき、過去に遡って追跡できる特性のこと。入退室や情報システムの動作状況、情報資産への操作などの必要な履歴をログとして記録し、後から識別可能にします。
簡単に言うと、誰が何をやったか、過去に遡って確認できる状態になっているか?ということです。

管理策としては、アクセスログ、イベントログ、エラーログなどを記録し、取得しておくことが望ましいでしょう。より確実な責任追跡性を維持するために必要に応じてアクセスログをデータベース化しておくことも必要かもしれません。

誰の責任か?追跡できるようになっているかが、責任追跡性です。


なんのために必要なのか

否認防止が必要な理由のほとんどは、「商業的な取引や悪質な操作の根源を識別するため」です。何らかの情報システムを運用している方ならわかると思いますが、情報セキュリティ上の重大な事故や事件インシデントの多くは、発生した時点では認識されません。「いつの間にかこんなことになっていた」というものであることがほとんどだと思います。冒頭でお話した、楽天モバイルの社員による情報漏えいもソフトバンクが情報を持ち出されたと気が付いたのは2か月後のことでした。
現実世界でいうと現行犯で逮捕することができるケースというのは非常に稀で、「〇月〇日に、あなたはこういう違反行為を行った」というケースが多いということです。

インターネット上では、さまざまな行為が目まぐるしく行われていますから、否認防止性を維持して後になってからでも原因を特定し、責任追及したり、再発防止の対策を実施したりすることが重要なのです。

責任追跡性のログを取得する理由は、セキュリティ上の事故が発生した際に、誰の責任でこんなことになったのかということを追跡できる状態にしておく必要があるからです。あるいは、システム障害が発生した際に、「何が原因だったのか」ということを遡って調査することができる状態を維持するために、責任追跡性を維持する必要があるのです。

具体的な人的資源セキュリティ

近年の日本はIT人材不足などと言われたりしていますが、最低限の情報リテラシーを持った人材を確保するように選考段階で基準を設けるということも重要です。もちろん、重要な情報にアクセスするポジションの人間であればあるほど、その選考は厳密に行ったほうが良いでしょう。
雇用条件や就業規則などにセキュリティに関する項目を追加しておくことも一つの管理策です。雇用前には就業規則は絶対に提示する必要がありますから、ここでセキュリティに関する項目を義務として認識させておくことが重要になります。

また、情報セキュリティリスクというのは常に流動的です。新しい技術を取り入れれば新たな脆弱性が生まれますし、かといって保守的な経営をしていると企業間の競争から取り残されることになってしまいます。2019年大流行したEmotetのようなマルウェアが急速に拡大し、再び脅威となることも考えられるでしょう。このため、常に自社が持つ情報資産について、どのようなリスクが存在するのか、調査をして洗い出しリスクアセスメントを行い、その結果のもと適切な従業員訓練を決める必要があります。
企業のセキュリティレベルを高めるためには、従業員各々の情報リテラシーの向上が非常に重要ではありますが、それを従業員個々の努力に頼ることは、危険です。マネジメント不足だと言えるでしょう。

従業員を適切にマネジメントするためには、違反を犯した従業員に対して処分を行うことも重要です。組織全体のリスクというのは、個人単位で考えるとどうしても自分ごと化しにくいため、具体的な処分内容を事前に決めておきます。

人的資源のセキュリティに関するリスクの中には、従業員によって意図的に行われるものもあります。こういった人的資源による意図的なリスクは緊急的な処置を行うことも心がけておくといいでしょう。

システム上で、ログ等を追跡できるようにすることも大切ですが、そもそも雇用する従業員の管理も慎重に行っていく必要がありそうですね。


最後に

今回は、内部不正の管理策についてお話していきましたが、いかがだったでしょうか。

セキュリティリスクといえばマルウェア等のコンピュータウイルスを想像してしまいがちです。もちろん、日々サイバー犯罪の件数は増加しており、大企業だけでなく中小企業の情報が狙われていることは事実であり、大きな脅威であることには変わりありません。

しかし、内部不正による情報漏えいは、IPA(情報処理推進機構)がまとめる「情報セキュリティ10大脅威」に毎年ランクインしています。
ランサムウェアなどの外部からの攻撃に対してはセキュリティ製品の導入やセキュリティ事故ために運用体制を整備していても、内部不正に対しては準備が不十分になっていないか。「社内は身内だから安全」という考えを捨てて、内部不正対策をする必要がありそうですね。

最後まで読んでいただきありがとうございます。今後ともISOプロ、わらがい紗羅@ISOプロをよろしくお願いいたします!


☟☟ぜひTwitterのフォローもよろしくお願いいたします!☟☟

ISOプロ  @isopro_haccp
わらがい紗羅@ISOプロ  @iso_waragaisara


☟☟ISOプロのサイトはこちら☟☟


この記事が気に入ったらサポートをしてみませんか?