IT資産管理

内部不正を起こさない組織とは? 原因と対策を解説

Written by MashiNari

ITベンダー、インフラ全般サービス企業で、プロジェクトマネージャー/リーダー等の経験を経て2016年にフリーランスへ転身。
インフラやクラウドシステムを中心に、要件定義、設計、構築、保守まで携わっています。
インフラの土台からweb周りの案件にも視野を広げ、近頃ではフロントエンド・バックエンドの開発にも従事し、日々奮闘中です。

内部不正を起こさない組織とは? 原因と対策を解説

【2022年最新版】情シス必見!内部不正防止に役立つセキュリティ対策

無料ダウンロード

“ChatGPT”の社内利用ルール、どう決める?
【AIサービス利用ガイドライン】を公開!

MOTEXが社内向けに作成したAIサービス利用ガイドラインをダウンロードできます。利用方針の決め方、作成ポイントの解説付き!

資料をダウンロードする


内部不正による情報漏洩は、それ自体の影響以上に組織の体質や体制を疑問視されやすいため、組織として万全な対策を施す必要があります。

しかし、内部不正は業務上アクセスが認められた正規の従業員によって行われます。情報へのアクセスを禁止できない状況で情報漏洩対策を行うためには、何をすればよいのでしょうか。

この記事では、内部不正が発生する原因とそれを防ぐために考えられる対策を紹介します。

▼この記事を要約すると

  • IPAが毎年公開している「情報セキュリティ10大脅威(組織編)」では「内部不正による情報漏洩」は毎年ランクインしている
  • 内部不正は、「動機」「機会」「正当化」の3つの要素が顕在化したときに発生しやすいと考えられている
  • 内部不正を防止するためには、「内部不正自体を防止する仕組み」「労働環境の整備」「従業員のITリテラシー向上」が重要

「内部不正による情報漏洩」の動向

IPAが公開している「情報セキュリティ10大脅威 2023(組織編)」のランキングでは、1位の「ランサムウェアによる被害」をはじめとして、年々外部からのサイバー攻撃に関する脅威の項目が増えてきました。ランキングの8割が、外部脅威に関する内容となっています。

それに対して、「内部不正による情報漏洩」は件数は少ないものの、毎年ランクインしており、一昨年は6位、昨年は5位、今年は4位と、脅威としての認知が年々上昇していることがわかります。

情報セキュリティ10大脅威 2023 組織編の一覧
参照:情報セキュリティ10大脅威 2023 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

内部不正はなぜ起こる? 人が不正を行うメカニズム

内部不正は、「動機」「機会」「正当化」の3つの要素が顕在化したときに発生しやすいと考えられています。
以下の図は不正のトライアングルと呼ばれ、3つの要素の相関を表しています。

動機

不正を行わざるを得ないと考えてしまう状況を指します。
業務を遂行する中で、責任やプレッシャーはもちろん人間関係や本人の気質にも起因して、様々な状況で追い詰められてしまうことがあります。

上司や同僚に相談すれば解決できる問題であっても、それができない環境や従業員を見逃さないことが重要です。追い詰められた本人は、問題を解決すべく不正行為を選択してしまう可能性が高まります。

機会

不正を行う機会がある環境を指します。
セキュリティを担保するためのルールは業務を一手間増やす場合もあるため、誰にも指摘されず発覚もしない環境であれば、ルールを無視して不正行為を行う可能性が高まります。
承認フローが形骸化している、業務が属人化しているなどの環境も、不正が起こりやすくなると考えられます。

近年ではテレワークの拡大もあり、上長や同僚の目が届きにくい労働環境にシフトしてきました。不正を行う機会が増加する可能性を意識し、内部不正防止策を講じる必要性は高まっていると言えるでしょう。

正当化

人は不正を行うときに、良心や不正発覚のリスクを意識し葛藤すると考えられています。
正当化は、このような葛藤から不正を行う方向へ判断を傾かせる理由付けを指します。
確かに、不正を行えば目の前の問題がとりあえず解決するというケースはゼロではありません。

不正を行う本人の中で問題解決の優先度が高くなってしまうことが、内部不正の実行に繋がります。

不正のトライアングルを内部不正防止対策の参考にして、自組織の実情に合わせた対策を検討することが大切です。

内部不正をさせない環境作り


人間の心理がきっかけとなりやすい内部不正は、サイバー攻撃対策とは別の視点による対策が必要です。内部不正を防止する3つの観点を紹介します。

内部不正自体を防止する仕組み

主に不正を行う「機会」への対策です。
不正を防止するためには、不正行為自体を行えない環境を実現することが最善です。それが難しい場合は、組織として不正を見逃さない仕組みを導入するとよいでしょう。

多くの場合は資産管理ツールを活用し、ツールの機能と業務をマッチさせた仕組みを作ることで実現します。

不正を行わせないシステム

内部不正による情報漏洩は、USBメモリなどの記憶媒体へ機密情報をコピーして持ち出す手口が多い傾向にあります。組織が意図していない記憶媒体に機密情報を保存できてしまう環境が、このケースでの大きな問題点と言えるでしょう。

組織内でのルールや注意喚起も大切ですが、前述したように内部不正を行う人は通常の判断能力を失っている可能性があります。
組織が許可していない記憶媒体の使用が不可能なシステム環境を整え、不正を行おうとしてもシステムによりそれを防ぐことが重要です。

不正を見逃さない環境

業務上の正当な作業でアクセスした情報を不正に利用するケースも存在します。
この場合、作業自体を禁止することはできないため、監視を強化することが大切です。
作業者の操作ログを取得し、適切な業務遂行を行っていることを確認できる環境を整えましょう。

また、一連の業務を特定の従業員に集中させないことも重要です。
担当者の裁量に業務方法が任されている状況では、魔が差してしまったときにそれを止めるタイミングが極端に少なくなります。一連の業務に複数人の担当者をつけることで、相互監視が行われる環境を実現することが可能です。

労働環境の整備

主に不正の「動機」と「正当化」への対策です。
不正行為へ踏み切る原因となる過度なストレスや組織への不満に対する策を講じます。
組織の雰囲気や体質を変えることは一朝一夕では実現できず、従業員だけではなく経営層も積極的に労働環境の整備に取り組む必要があります。

また、内部不正を行った人物に対する処罰を明確化し、例外なく実行することも大切です。

ストレスやハラスメントのケア

存在する不和や不満に対する組織としての対応です。
具体的には、相談窓口の設置や管理職へのハラスメント講習が該当します。これだけでは直接的に解決へ結びつかないケースだとしても、組織として状況を把握することで個別の対応策を検討することができるようになります。

また、組織が従業員を大切に扱っていると示すこと自体が、不満を減らすことにも繋がるでしょう。

内部不正チェックシートの活用

IPA(独立行政法人情報処理推進機構)により、内部不正チェックシートが公開されています。多くの職種に当てはまる内容となっているため、自社に合わせてカスタマイズして活用するとよいでしょう。

経営層から一般社員まで組織に属する全ての人にチェックシートを記入してもらい、それを集計することで、自組織に不足している内部不正防止対策を確認することができます。
その結果をもとに、適切ではないオペレーションで遂行している業務の改善に着手し、安全性を高めます。

従業員のITリテラシー向上

内部不正のリスクを正しく理解し、適切な判断を行えるようにすることが目的です。
悪意を持たずに行った行動が結果的に内部不正へ繋がることを防止します。

従業員教育

従業員に対して、ITリテラシー教育を実施します。ITリテラシーは個人によって差があることも多く、全体レベルの底上げを意識して行うとよいでしょう。
安易な行動によるセキュリティインシデントの発生を防止し、現在行っている業務のリスクを発見する可能性を高めることにも繋がります。

対策が難しい内部不正ですが、労働環境の改善でリスクを抑えることができます。
現場レベルの改善だけではなく、組織全体として内部不正対策に取り組みましょう。

LANSCOPE エンドポイントマネージャー クラウド版で行う内部不正対策

LANSCOPE エンドポイントマネージャー クラウド版で取得できる「操作ログ」を活用することで、内部不正の抑制をすることができます。

情報漏洩の要因として多いのは「退職者による情報の持ち出し」や「従業員による誤操作」があります。
操作ログを収集することで、「誰が」「いつ」「どのファイル」を操作したのかを確認することができます。また府操作ログを取得してることを従業員に周知することで内部不正の抑制にも繋がります。

内部不正を起こさない安全な組織運営を実現するために

内部不正による情報漏洩はいつ発生するかわからず、組織内の注意喚起や信頼関係だけで防止できるものでもありません。
不正を行える環境には多くのリスクが潜んでいるため、組織の現状を把握し、ひとつずつでもリスクを潰していくことが重要です。

【2022年最新版】情シスが把握しておくべき、内部不正を含む情報漏洩の10大脅威と対応策

無料ダウンロード

“ChatGPT”の社内利用ルール、どう決める?
【AIサービス利用ガイドライン】を公開!

MOTEXが社内向けに作成したAIサービス利用ガイドラインをダウンロードできます。利用方針の決め方、作成ポイントの解説付き!

資料をダウンロードする