IT資産管理

内部不正防止ガイドラインとは?改訂ポイントから考える適切な内部不正対策について

Written by MashiNari

ITベンダー、インフラ全般サービス企業で、プロジェクトマネージャー/リーダー等の経験を経て2016年にフリーランスへ転身。
インフラやクラウドシステムを中心に、要件定義、設計、構築、保守まで携わっています。
インフラの土台からweb周りの案件にも視野を広げ、近頃ではフロントエンド・バックエンドの開発にも従事し、日々奮闘中です。

内部不正防止ガイドラインとは?改訂ポイントから考える適切な内部不正対策について

目 次

内部不正防止ガイドラインとは
2022年4月の改訂ポイント
ガイドラインの改定から考える内部不正対策
ガイドラインを活用して適切な内部不正対策を実現する

情報漏洩の10大脅威と対策

内部不正による情報漏洩が急増?!情シスが押さえておきたい情報漏洩の10大脅威と対策

無料ダウンロード

AIサービス利用ガイドライン

“ChatGPT”の社内利用ルール、どう決める?
【AIサービス利用ガイドライン】を公開!

MOTEXが社内向けに作成したAIサービス利用ガイドラインをダウンロードできます。利用方針の決め方、作成ポイントの解説付き!

資料をダウンロードする


情報漏洩に対する意識は年々高まっており、効果的なソリューションも多く登場しています。
ランサムウェアやサイバー攻撃による情報漏洩の事案が多く報道されていますが、情報漏洩に繋がる要素は組織の内部にも潜んでいます。
内部不正による犯行は組織の警戒が薄くなりやすく、必要性が認められた権限を利用して情報を奪取してしまうため、対策に苦慮している組織も多いのではないでしょうか。

この記事では、内部不正防止ガイドラインの概要と、2022年の改訂ポイントから考える内部不正の防止について紹介します。

内部不正防止ガイドラインとは


内部不正防止ガイドラインとは、IPA(情報処理推進機構)により公開されている内部不正を防止するための考え方や運用方法のガイドラインです。幅広い業種で活用できる内部不正防止のノウハウが記載されているため、このガイドラインをベースに自組織に合わせた対策を検討するのはよい方法と言えます。

情報セキュリティへの意識には個人差があるため、ガイドラインを用いて最低限理解しておくべき知識を従業員に周知すれば、内部不正防止に効果を期待できます。

内容が多岐にわたるガイドラインですが、その中でも「内部不正防止の基本原則」は多くの職種で活用できる観点です。

内部不正防止の基本原則

内部不正防止ガイドラインでは、下記の5つを不正防止の基本原則として掲げています。

  1. 犯行を難しくする(やりにくくする)
  2. 捕まるリスクを高める(やると見つかる)
  3. 犯行の見返りを減らす(割に合わない)
  4. 犯行の誘因を減らす(その気にさせない)
  5. 犯罪の弁明をさせない(言い訳させない)

これらは不正のトライアングルである「動機」「機会」「正当化」に対して、どのような観点で対策を講じればよいのかの視点として考えることも可能です。

内部不正対策が難しい理由のひとつに、正規の権限を悪用した犯行である点があります。外部からの攻撃を防ぐセキュリティ対策では効果が薄く、不正を行えない環境作りが重要です。

前述した基本原則の観点で業務環境を見直すことで、内部不正を起こしにくい組織に近づくことができます。
このほかにも内部不正防止のためのノウハウや考え方が内部不正防止ガイドラインに記載されています。必要に応じて参考にするとよいでしょう。
参考:IPA 組織における内部不正防止ガイドライン

2022年4月の改訂ポイント


幅広く活用できる内部不正防止ガイドラインが2022年4月に改定されました。
主に社会環境の変化や、サイバーセキュリティ技術の進展に伴う変更となっています。

これまでの内容と比べて、テレワークなどの多様な働き方をフォローする内容となっているため、ここではそれぞれの改訂ポイントの要点を解説します。

内部不正による情報漏洩が事業経営に及ぼすリスクについて

経営者や経営層が意識するべき内部不正への考え方が記載されています。

内部不正による事業リスクを経営課題として捉える

内部不正は唐突に発生するアクシデントではなく、想定しておくべき事業リスクと捉えることが大切です。テレワークの拡大や働き方の多様化で、重要情報が分散する傾向にあります。

分散することでこれまでの管理体制では守り切れない情報が発生しないかを検討し、適切な対処を行いましょう。

情報保護に経営層が積極的に取り組む

組織として内部不正を防止するためには、経営層が主導して体制の構築や意識改革に取り組む必要があります。近年では個人情報以外にも、重要技術の情報漏洩リスクが増大しています。

全体的な取り組みを経営層が主導し、各部門の責任者がそれぞれの業務に対する具体的な対策を行うなど、様々なリスクへの対処に組織全体で取り組む必要があります。

組織外での機密情報の取り扱い増加に伴うリスクを低減する対策

テレワーク環境では、組織の機密情報に社外のネットワークからアクセスするため、これまで以上に機密情報の管理を徹底しなければなりません。

機密情報の棚卸し

組織が保持する機密情報を整理し、それぞれの情報に対して重要度を設定します。重要度別に取り扱いルールを定めることで、従業員が迷うことなく情報を利用できるほか、情報保護のための適切なコストを設定できるようになるでしょう。

また、機密情報の取り扱いを許可する範囲を明示することも重要です。
職位や職種によりアクセス権を設定し、必要な従業員以外が情報にアクセスすることができない環境を整備しましょう。

適切なネットワーク利用の推進

業務上不要なWebサイトやサービスへのアクセスは、悪意のある攻撃を受けるリスクを高めます。SNSや掲示板は、ITリテラシーの未熟な従業員が機密情報を書き込んでしまう危険があります。

テレワークでは自宅のインターネット環境を利用してWebサイトへアクセスしやすいため、これまで以上に注意が必要です。

退職者増加がもたらすリスクを低減する人的管理の対策

働き方の多様化も相まって、組織に対する不満を理由とする退職者が増加する懸念があります。

退職時は必要に応じて秘密保持契約を締結する

機密情報の流出は、悪意なく行われてしまうケースも存在します。組織の機密情報は、従業員の転職後の業務においても有益な知識となる可能性が高く、意図せずに流出させてしまうことが懸念されます。

そうした懸念がある場合は、退職者と秘密保持契約を締結し開示してはならない情報を明確にしましょう。

セキュリティ技術の進歩に適応する運用の在り方

セキュリティ技術は、外部からの攻撃だけではなく内部不正にも対応できるように進化しています。しかしながら、適切な利用をしなければ思わぬトラブルに繋がってしまうこともあります。

情報漏洩対策の方針を明確にし、周知徹底する

近年では、従業員の業務をモニタリングするシステムが多く登場しています。
内部不正対策や生産性の低下防止に効果が期待されており、導入を検討している組織も多いのではないでしょうか。

システムの導入は情報漏洩リスクへの対処として有効ですが、経営者はどのような目的で従業員を監視するのかを明確に示さなければなりません。
監視を強化することで、監視される側に「自分たちは信頼されていない」という疑念を抱かせる可能性があります。時には人権やプライバシーの侵害として強い反発が起こり、紛争に繋がるリスクもあるでしょう。

監視の強化は内部不正を行っていない従業員の無実を証明し、立場や評価を保護することが目的です。操作ミスなどにより意図しない情報漏洩が発生する前に異常を発見し、アラートを上げることにも繋がります。
経営者は監視強化による目的や効果を周知して従業員の理解を促し、合意形成に努める必要があります。

重要な法改正に伴う必要な対策の増補・強化

個人情報保護法や産業競争力強化法の施行に対応した記述が追加・改訂されています。

個人情報を取り扱う事業者の義務

発生した情報漏洩が個人の権利利益を害する恐れがある場合、個人情報保護委員会及び本人に速やかに報告し、30日以内(故意の内部不正の場合は60日以内)に再度報告することが義務づけられました。
個人情報の取り扱いを委託されている事業者である場合は、委託元が上述の義務を果たすために協力する義務を負います。

近年、テレワークを含む働き方の多様化やシステムの高度化に伴い、環境が大きく変わっています。
内部不正対策を見直すよいタイミングなので、自組織の内部不正対策と業務の実情にズレが起きていないか確認するとよいでしょう。

ガイドラインの改定から考える内部不正対策


前述のとおり、内部不正防止ガイドラインは現代の情勢や働き方に合わせた改定が行われました。
自組織の内部不正防止対策も、ガイドラインを参考にしながら作成・改定を行うことで、リスク削減を期待できます。
ここでは、内部不正防止ガイドラインの改定ポイントから、どのような対策が考えられるのかを紹介します。

万が一の情報漏洩に備えた原因究明と証拠確保

組織では内部不正による情報漏洩が発生した場合に備え、適切な対応を行える環境を構築しておく必要があります。
そのためには、情報システムにおいてログや証跡の保存を徹底し、定めた期間中は安全に保存する必要があります。
不正を行った従業員の供述や状況証拠だけでは、事件の原因や影響を正確に把握することは困難です。
重要情報へのアクセス履歴や端末の操作履歴、Webアクセスやメールの送受信など、事細かにログを収集・保存しておくことが大切です。
多くの場合は、資産管理ツールを用いてログの収集を実現します。

適切なIT資産の管理

機密情報を守るためには、守るべき資産や情報にアクセスする機器を明確に管理しなければなりません。
前述した「機密情報の棚卸し」を実施し、それらの情報へアクセスする端末やアカウントは必要最小限に制限することが有効です。
内部不正による情報漏洩は、USBメモリなどの記憶媒体に情報をコピーされるケースが多くあります。テレワーク環境においては同僚の目が届かず、記憶媒体の悪用を発見することが困難です。
これを防ぐためには、資産管理ツールにより業務に利用するデバイスを制限し、許可していないデバイスは使用不可にする対策が極めて有効です。

内部不正のリスクを抑制するためには、資産管理ツールの活用が多くのケースで非常に有効です。
LANSCOPEではログを収集できるだけではなく、必要なログを簡単に確認するための機能やUIが作り込まれています。
組織が意図している対応を力強くサポートし、スムーズな調査を実現します。

【2022年最新版】内部不正を含む情報漏洩の10大脅威と「LANSCOPE」を活用した対応策とは?

無料ダウンロード

AIサービス利用ガイドライン

“ChatGPT”の社内利用ルール、どう決める?
【AIサービス利用ガイドライン】を公開!

MOTEXが社内向けに作成したAIサービス利用ガイドラインをダウンロードできます。利用方針の決め方、作成ポイントの解説付き!

資料をダウンロードする

ガイドラインを活用して適切な内部不正対策を実現する

内部不正防止ガイドラインの改定ポイントを中心に、考えられる対策を紹介しました。
内部不正に繋がるリスクは多岐にわたりますが、内部不正防止ガイドラインは事例やアンケート調査の結果をもとに幅広く使える内容になっています。

内部不正ガイドラインを活用し、組織の業務に即した対策を検討することで、内部不正のリスクは大きく抑えられるでしょう。

関連する記事