大事件の後も多発する漏えい事故
2023年10月、大手通信系企業における個人情報の不正な持ち出しが表面化しました。元派遣社員が2013年から2023年までの10年にわたって、約930万件もの顧客情報を名簿業者に渡し、1,000万円を超える対価を得ていたとされる事件です。
不正が行われていた期間と流出した情報の量に愕然とすると同時に、管理者アカウントの悪用、アカウントの共用、そしてルールで禁止されていたUSBメモリの使用など、運用管理の甘さがまねいた内部不正の象徴的な事件として、国内のサイバー犯罪史に刻まれることになりました。
この事件の衝撃があまりにも大きかったためか、その後は同種のインシデントが起きても、メディアで大きく扱われるケースは少ないようですが、もちろん内部不正が鎮静化したわけではありません。
ルール不徹底も内部不正
IPA(情報処理推進機構)が毎年発表している「情報セキュリティ10大脅威」では、内部不正は2015年版で2位に記録されて以来、毎年上位にランクされ2025年は4位。10年以上も脅威であり続ける理由は、内部者によることのため対策が難しいこと。これに加えて、近年の情報システムの進化とそれに伴う働く環境の拡がりがリスクを増幅している側面もあります。
内部不正に至る動機と行動
出典:IPA 「情報セキュリティ10大脅威 2025」
内部不正というと、従業員が社員名簿をコピーして名簿業者に渡す、退社する社員が転職先への“手土産”として顧客リストを持ち出す、派遣社員が特許申請に関する文書を盗むといったケースが思い浮かびますが、こうした悪意からの行為だけではありません。
IPAでは、「組織における内部不正防止ガイドライン」で、内部不正を以下のように定義しています。
“違法行為だけでなく、情報セキュリティに関する内部規定違反等の違法とまでいえない不正行為も内部不正に含めます。内部不正の行為としては、重要情報や情報システム等の情報資産の窃取、持ち出し、漏えい、消去・破壊等を対象とします”
大企業だけの課題ではない
団体や調査会社によって、若干定義の違いはありますが、違法行為には当たらずとも、組織で定めたルールの軽視や失念、あるいは規則の内容を認識していなかったことによる情報の漏えいや消去なども、内部不正に含むと考えていいでしょう。つまり、就業規則で禁じられている会社のPCを自宅に持ち帰る、USBメモリにデータを移す、重要書類を無断で複写する、といった行為は内部不正のリスクをはらむというわけです。
内部不正はどこで起きても不思議ではありません。
内部不正と言うと“大企業の話でしょ?”という反応が多いのですが、少人数の会社でも、何らかの事情から違法行為が起きるリスクはゼロにはできません。まして得意先への提案書を保存したPCを電車内に置き忘れる、顧客名簿が入ったバッグを泥酔して紛失する、といった失策はどこでもあり得る話でしょう。
ワークスペースの拡がりで対策の難易度が上がる
内部不正が鎮静化しない理由として、まず対策の難しさが挙げられます。
故意による情報漏えいもルール不徹底からの流出も、その多くは正規の権限をもった従業員が正規の業務として行う工程に紛れるため、もともと発見が難しいのです。
対策を困難にしている背景として、近年のIT環境と働き方の変化があります。
例えば、クラウドへの依存度は年々上がり、現在は小規模の企業・団体でも、勤務データの記録、売上と在庫の照会、名刺管理、コミュニケーションなど、毎日毎時、いくつものクラウドサービスにアクセスしているはずです。
テレワークの定着によって、働く環境も変化しました。クラウドの多用やテレワークの常態化などの環境変化に際しては、個々のシステム・サービス・環境ごとの特性を加味し、内部不正を防止するためのルール整備が必要ですが、多くの組織では変化に追い付いていないのが実情ではないでしょうか。
経営層の危機感も希薄
内部不正が多発する要因の一つとして、経営層の意識も挙げられます。
ランサムウェアやサプライチェーン攻撃、標的型攻撃などに比べると、企業側の危機感の希薄さは否めません。
ここ数年は、サイバー攻撃による被害の大きさを伝える報道が続き、セキュリティ対策を経営課題と考える経営者が増えました。しかし内部不正のリスクに関しては、IPAが2023年春に公開した「企業の内部不正防止体制に関する実態調査」によると、「経営課題と捉えている」と答えた割合は4割弱に止まっています。
内部不正に対する経営層の意識
出典:IPA 「企業の内部不正防止体制に関する実態調査」報告書
同調査では、内部不正対策を主管し、組織全体に対する責任を負う部門に関する設問もありますが、リスク管理/コンプライアンス部門(44.1%)と情報システム/セキュリティ管理部門(37.6%)にほぼ二分されています。
また、個人情報以外の“重要情報”を特定する仕組みがない組織は半数以上。重要情報の種類に関しては、重要な営業情報(48.9%)、重要な技術情報・ノウハウ(47.4%)、営業秘密として管理している情報(44.2%)などが上位を占め、個人情報(70.6%)以外は半数に達した種別はありませんでした。
企業が重要情報と定義する情報の種類
出典:IPA 「「企業の内部不正防止体制に関する実態調査」報告書
経営層の意識に加えて、このような現実は、内部不正への対応は統一的な方法論の確立が難しく、個々の組織に合わせた対策に委ねる部分が多いことを物語っていると言えそうです。
内部不正に対する組織の指針や規則。ここでも半数を超える対策はない
出典:IPA 「企業の内部不正防止体制に関する実態調査」報告書
正攻法を個別の対策で補間
中小企業にとっても、内部不正への対策は、まず総論、正攻法の実践が前提です。
ベースは経営層の理解。そしてもう一つは、内部不正対策を担う部署、責任を持つ部門の確立です。各論のアカウント管理やログイン認証の強化、従業員教育などに進むとしても、二つの土台がない環境では継続的な効果は期待できません。
もう一つのベースは、重要情報の定義。重要情報の格付けが明示されていなければ、従業員は保護する情報の区分ができません。顧客情報と従業員の個人情報の他には、例えば、サプライチェーンの一部が営業機密として扱っている情報、不正侵入に結びつく可能性があるシステム仕様など、視野をサプライチェーンに拡げて重要情報を見極めましょう。この段階まできたら、情報を管理する部門の責任で、個々の情報の保管場所と方法、アクセスできる人、データを参照する際のルールを定めます。
ルール設定に際しては以下の基本を前提とし、内部不正に対するハードルをできるだけ上げてください。
-重要情報にアクセスできるアカウントの数は必要最小限
-1アカウントに付与する権限は必要最小限
-アカウントの共用はしない
-退職者/業務から離れた担当者のアカウントはすぐに削除・設定変更
-ログ(操作記録)の定期的な検証を怠らない
上記の基本に加えて、情報の重要度に応じてログイン時の多要素認証を導入する、データを複写する際は管理者の承認を得る、機密性が特に高い情報を持ち出す際は複数担当者のパスワード認証を課す、アカウントの有効時間と業務を制限する、などのルールを追加します。
特に注意すべきはシステム管理者の行動です。管理者は重要情報の保管場所、複写する方法、外部メモリかメール、あるいは印刷物など、発覚する可能性が低い方法、そしてログの消し方まで熟知しています。管理者による意図的な不正は、大量の情報流出に直結するため、ログの検査頻度を上げる、入退室管理など物理的なガードも強化する、管理者が相互に監視する体制の整備など、二重三重の対策が欠かせません。
重要情報を扱うスペースを管理する例
出典:IPA 「組織における内部不正防止ガイドライン」
テレワークとクラウドの隙を塞ぐ
テレワーク環境に対しては、情報の機密性に応じた利用規則を再考します。例えば、社として特定した重要情報にラベル付けを施し、テレワークでは扱えない情報を区分すること。並行して、テレワーク実施者に定期的なレクチャーを実施しましょう。また従業員が孤立感を高めないため、コミュニケーションの強化も望まれます。
従業員が私物として所有しているデバイスを業務に使うBYOD(Bring Your Own Device)は、もともと許可している企業は少ないのですが、端末の機能制限、保有者のプライベート情報の保護など、いろいろ難しさがあります。BYODに関して厳密なルールが整備されていないところは、この機会に機能を制限した会社の端末を貸与する方法への統一を検討してもいいでしょう。
クラウド利用に関しても、サービスとデータ種別の限定が前提ですが、サプライチェーンを構成する取引先がクラウド経由を求めるなど、制約があるかもしれません。この場合、情報の扱いに関する社内ルールの周知と定期的な研修でカバーしましょう。またクラウドを多用する環境では、一部のサーバーに離職者のアカウントが残る、共有フォルダの設定がオープンになっている、といったミスはありがちなので注意してください。
特効薬は基本の周知と啓発
最近は、内部からのデータの流失を検知するDLP(Data Loss Prevention)、ユーザーの行動を分析するUBA(User Behavior Analytics)、あるいはクラウドとの通信を一元管理し、不正な通信を検出できるCASB(Cloud Access Security Broker)などのソリューションの導入も進んでいます。
また万一に備えて、自社が関係する情報のダークウェブへの流出を検知するダークウェブモニタリングの活用も進んできました。こうしたツールの導入は、予算にゆとりがある大企業が中心ですが、中には安価なサービスもありますので、検討してもいいでしょう。
他のセキュリティ対策と同様、内部不正に対しても特効薬はありません。 従業員・職員の意識と管理体制が成否を分けます。クラウド利用とテレワークが常態化した環境に合わせて、情報を扱うルールを再検討した上で、定期的な啓発・教育を実践してください。