内部不正や内部犯行による情報漏洩のリスクと対策

ウォーターマーク共通

内部不正や内部犯行による情報漏洩のリスクと対策

身近潜む情報漏洩のリスク

個人情報や企業秘密、営業秘密、など企業や金融機関、医療機関、官公庁役所では多くの機密情報を扱っており、日々情報漏洩についてニュースで報じられる「流出」、「不正アクセス」といった言葉に戦々兢々としている情報取扱いの責任者の方も多いのではないでしょうか。

情報漏洩を起こしてしまうと、被害者の方への対応や、原因調査、再発防止対策などを行わなくてはなりません。
対応に追われ、事業が一時停止するだけでなく、補償や調査、対応での金銭的ダメージや、お客様からの信用失墜、ブランドイメージの低下など、将来までの逸失した損害は計り知れません。

情報セキュリティ対策、情報漏洩対策は、今や当たり前のこととなりましたし、情報漏洩の対策として様々なソリューションがあり、対策を講じられていることが増えているのではないかと思います。
しかし、外部からの不正アクセスやマルウェアなどによる外部攻撃による対策が多くを占めているのではないでしょうか。

ハッカーや悪意を持った人物からの脅威にだけ対策をすれば安心なのでしょうか?

外部からの攻撃に対する対策をしっかり行っておけば安心かというと、そうではない意外な身近なリスクに晒されています。

それは内部犯行によるものです。

情報漏洩の原因として内部の関係者による内部不正、内部犯行という漏洩が頻発しています。

スクリーンウォーターマーク( ScreenWaterMark )を活用した、内部犯行・内部不正による情報漏洩のリスクと対策

内部犯行、内部不正による情報漏洩が盲点に

内部犯行、内部不正による情報漏洩とは、社員や委託先の関係者などが業務で使用するPCやネットワークを使用して、個人情報や企業秘密、営業秘密などの重要な情報を不正に持ち出すことです。

外部からの不正アクセスやマルウェアによる攻撃の対策は、正規なアクセス権限のある内部の人物にとっては情報漏洩対策とはなりません。
そのため、内部による不正行為は状況を把握することが困難で、対策を打つことも難しいのが内部犯行の特徴です。

把握や対策を打つのが難しいこともあり、内部犯行による情報漏洩は年々増加しています。

このことはIPA(情報処理推進機構)が毎年、情報セキュリティの10大脅威を公開している「情報セキュリティ10大脅威 2020」にも表れています。

第2位 内部不正による情報漏えい

組織の従業員や元従業員等、組織関係者による機密情報の持ち出しや悪用等の、不正行為が発生している。また、組織の情報管理のルールを守らずに情報を持ち出し、さらにはそれを紛失し、情報漏えいにつながることもある。内部不正は、組織の社会的信用の失墜、損害賠償による経済的損失等により、組織に多大な損害を与える。

IPA「情報セキュリティ10大脅威 2020」より引用

出典:情報セキュリティ10大脅威 2020 – IPA

昨年は5位だった「内部不正による情報漏洩」が2位に急上昇しています。

内部不正と内部犯行の特徴

急上昇の理由は定かではありませんが、昨今の働き方改革の促進によってテレワークの普及が進み、更にコロナ禍による急速なテレワーク化によってオフィス外での業務をする機会が増えていることも関係しているかもしれません。

情報漏洩の内部不正や内部犯行には次のような特徴があるようです。

■対象の情報
・顧客情報や技術情報、入札情報などの営業秘密
・金融機関、医療機関、役所などが保持する個人情報
・氏名、年齢、住所、クレジットカードやメールアドレス、電話番号などの個人情報
など

■漏洩の動機
・所属する会社、団体、などへの不満
・ストーカーなどの犯罪行為
・転職先での情報流用
・転売して金銭を得るため
・第三者からの依頼
など

■漏洩先
顧客情報や技術情報などの営業秘密で見ると、営業秘密の漏洩先は国内競合他社が多いようです。

内部者による営業秘密流出の実態

• 営業秘密の漏えい先は「国内競業他社」が32.4%と最も多い。
• そのうち、内部不正による漏えいが多くを占める。

IPA「組織における内部不正とその対策」より引用

出典:組織における内部不正とその対策 – IPA

上述した動機から競合他社へ漏洩した情報が洩れると、その営業秘密を利用した営業活動や、製品、サービスの開発に繋がっていくリスクがあります。

オフィスでは、上司や同僚など周りの目もありますし、入退室時のセキュリティ、金融機関などでは荷物検査などが行われていますが、テレワークでは自宅で業務を行うこととなり、周りからのチェックもなくなり、社員のモラルに委ねざるを得ないと言えます。

また、在籍中の社員に限らず、すでに退職した元社員による情報漏洩も発生しています。
在籍時に付与されていたアクセス権がそのままになっていたり、元社員から在職中の社員へ依頼という事例も見受けられます。

なぜ内部不正と内部犯行が発生するのか?

なぜ内部不正や内部犯行が発生するのか?を考えてみると、上述したように様々な動機が根底にあるようです。
どうして社員が内部不正や内部犯行で情報漏洩をしたのかを理解することは、対策を講じる上では重要なことと言えます。

米国のドナルド・R・クレッシーという組織犯罪研究者が「不正のトライアングル」という理論を提唱しています。

「動機・プレッシャー」、「機会」、「正当化」という3つの不正の要素が全て揃った場合に不正行為が発生する

「不正のトライアングル」理論 – ドナルド・R・クレッシー

3つの不正の要素について見ていきましょう。

①「動機・プレッシャー」
不正をする事に至った心情のことで、「~がしたい」、「~がほしい」、「~しなければならない」などが動機となります。
金銭を得る必要がある、犯罪に利用したい、第三者から依頼された、などが挙げられます。

②「機会」
不正が出来てしまう環境や、不正をしても発覚しない環境があることが機会となります。
規則や管理、セキュリティ対策の不備、周りが無関心など周囲の視線が無いこと、などが挙げられます。

③「正当化」
不正を行うにもかかわらず、都合の良い理由をつけて自身の行為を正当化することです。
人に見せるだけだから大丈夫、自分で見るだけだから大丈夫、会社が正しく評価していないのだから会社が悪い、他の人もやってるから、などが挙げられます。

内部不正、内部犯行の対策をする上では、これら3つの不正の要素に適した対策が求められます。

内部不正と内部犯行への情報漏洩対策

内部不正、内部犯行の対策をする上では、3つの不正の要素「動機・プレッシャー」、「機会」、「正当化」に適した対策が求められます。

それぞれの不正の要素について、対策の例を挙げてみます。

①動機・プレッシャー
・社内環境、就業環境の改善
・待遇見直し、評価制度見直し
・コミュニケーションの強化(相互理解の深化)
など

動機の要因となる会社からの評価や、待遇などの不満を解消することが対策のポイントとなります。
この他にも職場内の人間関係、特に上司や先輩との関係性が重要と言えます。

正しく評価し、待遇を改善するためにも、関係性を高めるためにコミュニケーションをとることで、相互の考え方の齟齬が減り、お互いの信頼関係を醸成することで不満の解消や、不正や退職を未然に防ぐことが可能です。

②機会
・アクセス制限の細分化(必要最低限の権限を付与)
・アクセス履歴をログ取集
・USBメモリーの使用制限
・外部宛てメールの監査
・退職者のアクセス権限の停止
・管理者を増員することによる、社内の管理、監視体制の強化
など

機会を防ぐには、情報にアクセス出来る人物を必要最小限にすること、アクセスした履歴が確認出来ること、USBメモリーやデバイスなどの可搬記憶媒体やメール添付などで外部に持ち出せないようにすることなどが対策のポイントとなります。

不正を「やりにくくする」、不正を「やっても見つかる」ということが容易に想像がついて、不正を行うことをやめさせることが重要です。

③正当化
・社員へのセキュリティ教育
・情報取扱いに関する誓約書の締結
・業務で得た情報や作成した資料を公開した場合の罰則規定
など

正当化の不正の要素を防ぐには、正当化による言い訳が出来ない状態にすることが対策のポイントです。
セキュリティ教育や、誓約書への署名、罰則規定を設けるなどを行うことで、ルールとして不正は悪いことであると明確にすることで正当化を出来ないようにすることが大切です。

内部不正、内部犯行のリスクの意外な盲点

これだけ対策をしたとしても、対策の抜け穴となりえる情報漏洩の2つの要素があります。

それは、正規のアクセス権限を持った人物が、目に見える情報を狙った場合です。

業務で使用するPC画面と印刷物には、顧客情報や、個人情報、営業秘密などの重要な情報が表示されます。
これらの情報は業務で使用する情報ですので、表示をするしかないもので、表示をしないという選択肢はありません。

そして、このPC画面と印刷物は情報漏洩に対して非常に脆弱です。

PC画面はWindows標準の機能であるプリントスクリーンで画面のスクリーンショット(画面画像のコピー)を撮ることが出来ますし、PC画面をスマートフォンやカメラで撮影することは最も簡単な方法です。
印刷物も持ち運んだり、コピーして複製することが容易に可能です。

正規なアクセス権限者が、目に見えている情報、つまりPC画面と印刷物は情報漏洩のリスクが高く、常に脅威に晒されているということが言えます。

特に昨今の働き方改革や、コロナ禍によるテレワークの増加は、管理者や周りの目も届かないため、PC画面と印刷物からの情報漏洩リスクが非常に高まっています。
オフィスでは、上司や同僚など周りの目もありますし、入退室時のセキュリティ、金融機関などでは荷物検査などが行われていますが、テレワークでは自宅で業務を行うこととなり、周りからのチェックもなくなり、社員のモラルに委ねざるを得ないと言えます。

スクリーンウォーターマークで内部不正、内部犯行の「機会」を防止・抑止して対策

スクリーンウォーターマーク( ScreenWaterMark )は、PC画面と印刷物にウォーターマークと言われる透かし文字を表示、印刷することで情報漏洩を防止、抑止するソリューション製品です。

PC画面と印刷物に表示、印刷されるウォーターマークには、任意のメッセージ(社外秘や持出し禁止、社名、など)や、Windowsにログインしているユーザー名、IPアドレス、日時などを表示し、その情報にアクセスしている人物を明確化することで不正行為を防止、抑止できます。
また、ウォーターマークを表示するだけでなく、ユーザーによるWindowsのプリントスクリーン機能を制限することも可能です。

万が一、情報漏洩が発生した場合でも、情報の流出元が明確なため経緯を調査することも容易になりますし、プリントスクリーンや印刷を行った履歴もログが残るため、「誰が」、「いつ」、「どんな」情報を持ち出したのかの確認も可能です。

導入も簡単で、ユーザーPCにはエージェントソフトウェアをインストールするだけで、あとは管理者用画面で設定をすれば一括で管理者が設定したポリシーがユーザー端末に自動で配信されます。
表示するウォーターマークのポリシー設定は、ユーザーごと、グループごとなどで分けることが出来、スケジュールなどの設定も可能です。

PC画面や印刷物にウォーターマーク(透かし文字)を表示して、大切な個人情報や企業秘密、営業秘密を情報漏洩から守る。 情報セキュリティ対策、情報漏洩対策は、XSecuritas ScreenWaterMark(スクリーンウォーターマーク)にお任せ下さい。 テレワーク の不正行為防止・抑止にもおすすめです。

スクリーンウォーターマークとアウトプットウォーターマークの仕様や、各エディションの違いについてご説明します。
スクリーンウォーターマーク30日無償試用版をご提供中です。無償試用版のお申込みはこちらから。
スクリーンウォーターマークに関するご相談、お見積り、お問合せはお気軽にどうぞ。こちらのお問合せフォームからお問合せ下さい。
AI×SIEMを活用した新世代MSS サイバーフォートレスのSOCで24時間365日サイバー攻撃の脅威からお守りします

関連記事一覧