身内を疑いたくないけど・・・内部犯罪どう防ぐ?
情報漏えいの原因として、無視できないのが内部者による故意の情報持ち出しです。特に、権限のある内部者による犯行は検知することが難しく、しかも発覚した場合の被害金額が非常に大きいものとなります。今回は、内部犯罪の心理や特徴、対策について紹介します。
【目次】
・ニュースになりやすい内部犯罪
・内部犯罪が起きる「不正トライアングル」とは
・内部犯罪を防ぐには
ニュースになりやすい内部犯罪
情報漏えい事件がニュースをにぎわせることが多くなりました。とりわけ、組織内部の人間によるものは大々的に報道されます。情報漏えいの原因は紛失・盗難、誤操作が半数以上を占め、内部犯罪は数%にとどまっています。それでも内部犯罪が原因の情報漏えい事件がニュースに大きく取り上げられるのは、話題性、被害総額がともに高く、ニュースバリューがあるということなのでしょう。
近年に発生した情報漏えい事件における想定被害総額をみても、2014年に発生した教育・出版系企業のケースで約200億円、製造業企業のケースで1000億円以上、金融機関のケースで2400万円以上と、いずれも高額になっています。このほかにも多くの情報漏えい事件が発生しており、そのほとんどが被害総額は不明とされています。しかし、漏えいした情報が開発データや入札情報、個人情報などですので、被害総額は相当なものになると思われます。
また、情報漏えい事件が発生した際に公表は義務づけられていません。このため、実際にはかなりの数の情報漏えい事件が発生していると考えられます。情報漏えい事件を起こしてしまった企業は、高額の損害賠償費用が必要になることはもちろん、発覚した場合の企業のイメージダウンやブランドの失墜、銀行の信用の低下など、大きなダメージを受けることになり、業務の停止や倒産に追い込まれることもあるのです。
2014年~2015年に報道された内部不正事件(出典:IPAの資料より)
内部犯罪が起きる「不正トライアングル」とは
内部犯罪による情報漏えい事件には、ライバル会社に機密情報を売り渡すような悪質なものもありますが、多くは「どこかで役に立つかも知れない」という軽い気持ちで行われています。IPAの調査によると、内部犯罪経験者が行った不正行為の内容は「顧客情報等の職務で知りえた情報の持ち出し」(58.5%)、「個人情報を売買するなど職務で知りえた情報の目的外利用」(40.5%)、「システムの破壊・改ざん」(36.5%)となっています。そして、内部犯罪を行うタイミングは退職や転職する前が多いようです。
同調査では、内部犯罪の理由として「業務が忙しく、終わらせるために持ち出す必要があった」(16.0%)、「処遇や待遇に不満があった」(11.0%)、「ルールはあったが、ルール違反を繰り返している人がいたので、自分もやった」(7.0%)、「持ち出した情報や機材で転職や起業を有利にしたかった」(3.5%)、「企業・組織や上司などに恨みがあった」(3.0%)、「持ち出した情報や機材を換金したかった」(1.5%)などとなっています。
では、内部犯罪はどのような心理で行われるのでしょう。一般的に内部犯罪は「不正のトライアングル」により行われるとされています。不正のトライアングルは「動機」「機会」「正当化」の3つの要因により構成され、人間はこれらが揃ったときに不正を行うというものです。「動機」は、不正行為に至るきっかけや原因のことで、処遇への不満やプレッシャー(業務量、ノルマ等)などが挙げられます。具体的には「人事に不満がある」「金銭問題を抱えている」「高いノルマを設定された」などの意識です。
「機会」は、不正行為の実行を可能、または容易にする環境のことで、IT技術や物理的な環境および組織のルールなどが挙げられます。具体的には「システム管理者権限」「持ち出し可能な環境」「同じ業務を長期間担当」などの環境です。「正当化」は、自分勝手な理由づけや倫理観の欠如といった気持ちのことで、都合の良い解釈や他人への責任転嫁などが挙げられます。具体的には「正当に評価がされないから」「サービス残業を強いられているから」などの気持ちです。
ただし、不正のトライアングルが揃うことはあっても、すぐに内部犯罪に走ることは少なく、実行に至るまでの「醸成期間」があるとされています。醸成期間に不平や不満が蓄積していき、あるポイントを過ぎると準備段階に入り、内部不正の実行に至ります。企業は、この醸成期間にある従業員を早期に把握し、対処する必要があるのです。
不正のトライアングル
内部犯罪を防ぐには
企業に大きなダメージを与える内部犯罪を防ぐには、不正のトライアングルの3要因が揃わないようにする必要があります。ただし、3つの要因のうち「機会」については、権限のあるシステム管理者などは自分の好きなタイミングで機会を作れるため、システムによる有効な対策がありません。「動機」と「正当化」の部分を監視することが有効とされています。
内部犯罪対策としてまず挙げられるのは、権限の管理とログの収集です。権限の管理では、従業員それぞれに適切な権限を設定するとともに、退職した際には遅滞なくアカウントを消去するといった対策も重要です。情報漏えい事件の中には、退職者のアカウントをすぐに消去しなかったことで、退職者がログインするケースもありました。また、従業員の操作ログを収集、保管することで、問題が発生した際の原因を突き止めやすくできるほか、「常に監視されている」という意識を持たせることで犯罪抑止効果も期待できます。
ログの収集、管理の面では、最近ではSIEM(Security Information and Event Management:セキュリティ情報イベント管理)を活用するケースも増えています。SIEMは、さまざまな機器のログを収集し、分析できます。たとえば、権限のないフォルダにアクセスしようとしたり、大容量ファイルのコピーを行う、業務とは関係ない相手にメールを送るなど、内部犯罪の芽になるような行為をカウントし、一定以上のスコアになった従業員を把握するというものです。
さらに最近では、AIや機械学習を内部犯罪の検知に活かすものもあります。たとえば、内部犯罪を起こしてしまう人は、それを実行に移すまでに、かつての同僚とメールをやり取りして愚痴を書く傾向があるので、それをAIや機械学習によって検知し、未然に防ぐようなソリューションもあります。この場合は、あらかじめメールを検閲することを従業員に伝える必要がありますが、それも抑止力になるかも知れません。
そして、何より重要なことは、従業員の教育による意識の向上です。会社に勤めることとはどういうことなのか、会社の目的や従業員の目的になど基本的な心構えを教える必要があるでしょう。こうした教育は入社時だけでなく、定期的に実施することが重要なのです。また、内部不正対策についてはIPAなどがガイドラインを公開していますので、参考にすると良いでしょう。
内部犯罪検知の例(出典:IPAの資料より)
自動車整備士として整備工場やガソリンスタンドで長らく働いた後、IT系フリーランスライターとして独立。ここ15年ほどは情報セキュリティ関連を中心に執筆活動を行っている。ただし、パソコンやハード、ソフト、周辺機器、スマホ、アプリ、サービスなどIT系全般はもちろん、自動車など他業界にも対応。