セキュリティとガバナンス

企業の内部不正はどう防ぐ?過去の事例や対策方法を紹介!

企業経営におけるセキュリティを考える際に大切なのは、外部からの攻撃リスクだけではなく、企業内部からの犯行、つまり内部不正のリスクにも備えることです。本記事では内部不正が起こる原因やその対策、実際に起こってしまった事例などを紹介します。内部不正を防ぐにはどうすればよいか知りたい方は、ぜひ参考にしてください。

クラウド時代に求められる情報セキュリティとは? 〜Microsoft Defender for Cloudも解説〜

内部不正の種類

企業や組織における内部不正にはさまざまなものがありますが、主な種類としては、金銭の横領やハラスメント、情報漏えいなどが挙げられます。

金銭の横領

「金銭の横領」は、職権を濫用して企業のお金を利己のために持ち出したり、使い込んだりする行為を指します。横領の規模は幅広く、「小売店のレジの売上金を誤魔化して着服する」といったレベルから、「大企業の上層部や経理担当者などが数千万~数億単位のレベルで個人流用する」など多岐に渡ります。金銭の横領は、企業の経済資産に直接ダメージを与える内部不正と言えます。

ハラスメント

他方「ハラスメント」は、職場におけるパワハラ・モラハラ・セクハラなど、公には表出されにくい問題です。ハラスメントは主に上司と部下間、あるいは正社員と派遣社員・アルバイト間など、立場の違う者同士の関係で生じやすく、「職場における優位者が、それを盾に理不尽な命令や待遇を強いる」というのが典型です。

これによって被害者が休職や退職に至る場合もあるため、ハラスメントは企業の人的資源に対してダメージを与えます。また、賃金の未払いやサービス残業の強制といった労務管理の問題も、往々にして企業による従業員へのパワハラという側面を含んでいます。

情報漏えい

最後の情報漏えいは、従業員や関係者などによる機密情報の故意ないしは過失による持ち出し、漏えい、改ざん、破壊など、企業の情報資産を侵害する行為を指します。情報漏えいは、その企業自体の内部情報に留まらず、顧客をはじめとする社外の人間の個人情報をも侵害する場合があり、本来は被害者側であるはずの企業も社会的に批判を受けるリスクがあります。

内部不正が発生する原因

内部不正が発生する原因は、主に「人的要因」と「技術的要因」の2種類に分けられます。以下では、それぞれの概要について解説します。

人的要因

内部不正は組織内関係者という「人」によってなされる行為です。不正の原因に、当事者の内面的動機などが大きく関与していることは、必然であると言えます。特に故意による内部不正の場合、組織に対する何らかの強い不満が、その背景に流れていることが多くあります。

ただし、内部不正には過失も含まれます。IPA(情報処理推進機構)の調査によれば、内部不正の動機の約6割が「意図していない違反」、つまり「うっかりミス」であったことが報告されています。

アメリカの研究者ドナルド・R・クレッシー氏が提唱する構造モデルによれば、内部不正は「動機」「機会」「正当化」の三要素が重なることで、発生確率が高まるとされています。

つまり、所属組織への不満など内部不正に手を染めるに至る「動機」があり、不正行為を犯しやすい職権・職場環境などの「機会」を得て、不正者が自身の不正行為に対して言いわけ、つまり「正当化」しやすい状況があれば、内部不正の発生確率が高まるという考えです。こうした不正を呼び起こす原因である「動機」「機会」「正当化」の3要素をまとめて、「不正のトライアングル」といいます。

技術的要因

内部不正が発生する原因としては、「技術的要因」も考えられます。これは先の「不正のトライアングル」における「機会」にも関わる問題です。組織環境として内部不正が行われやすい状況にあること、すなわち、不正防止のためのセキュリティ対策が構築できていない場合などを指します。

具体的には、権限を持たない従業員や関係者が、重要な機密情報に容易にアクセスできるようなシステム環境であったり、金銭の横領であれば経理に関するチェック体制がおろそかであったりするなどです。内部不正の技術的要因を改善するには、内部不正を抑止するだけでなく、発覚後に適切なフィードバックを行うことが重要です。

内部不正が発覚した過去の事例

では実際に、過去にはどのような内部不正が行われたのでしょうか。以下では、社会を騒然とさせた内部不正の具体的な事例を紹介します。

某大手教育産業

通信教育を中心に広く事業展開する某大手企業では、内部不正が行われたことにより、子どもと保護者を中心に、企業内システムに保存されていた約3,504万件もの個人情報が漏えいしました。

この内部不正は、当該企業から個人情報の管理を委託されていた会社のシステムエンジニアが、自身のスマートフォンにデータを不正にコピーし、顧客名簿業者に転売するという形で起こりました。この名簿情報は、さらに競合他社によって買い取られたとされており、「個人情報ビジネス」ともいうべき社会の闇が世間を騒然とさせました。

当該企業は被害顧客への補償に追われ、約306億円もの特別損失を計上しました。この事件は今なお、内部不正による日本史上最大の情報流出事件として知られています。

某大手総合電機メーカー

不正入手によって転売されるのは、個人情報だけに限りません。某大手総合電機メーカーは、提携先企業の技術者によってフラッシュメモリに関する研究データを持ち出され、技術者の転職先である海外企業に無断提供されるという被害を受けました。

当の技術者は、不正入手した技術情報の提供と引き換えにヘッドハンティングされたと見られていました。そのため、この内部不正事件は競合企業による企業スパイ行為の一環である、という見方もされています。犯行に及んだ技術者は逮捕され、両社は330億円の賠償金の支払いで和解したのち、記録用半導体の製造技術を共同開発していくことで合意しています。

内部不正を防ぐための方法

このように、内部不正は企業に大きな経済的損失を与え、ときにはブランドダメージに取り返しのつかない傷を負わせます。それでは、内部不正を防ぐにはどうしたらよいのでしょうか。以下では、内部不正を防ぐための方法について紹介します。

内部不正防止ガイドラインの実施

内部不正を防止するにあたり、IPAの提唱する「内部不正防止ガイドライン」が役に立ちます。このガイドラインでは、内部不正を防止するための5つの基本原則「犯行を難しくする」「捕まるリスクを高める」「犯行の見返りを減らす」「犯行の誘因を減らす」「犯罪の弁明をさせない」がまとめられています。このガイドラインを参考にすることで、効率的な内部不正防止対策の実施が見込めます。

モニタリングの強化

内部不正を防ぐための次なる方法としては、契約社員や業務委託先も含めた「モニタリングの強化」が挙げられます。不正の予防や早期発見のためには、システムやルールによって重要情報の監視体制を強化することが大切です。

具体的には、情報の重要度にしたがってアクセス権に制限をかけたり、サーバーへの情報機器の持ち込み・持ち出しを規則で禁止したりするなどが考えられます。あるいは、重要情報へのアクセスログを定期的にチェックすることも有効です。

従業員満足度の向上

これまでにあった事例では、従業員が企業に不満を覚えた結果、犯行に及んだケースが非常に多くありました。逆に言えば、従業員の満足度を向上させれば、少なくとも故意の内部不正は大幅に抑止できることになります。

これは一見、迂遠な方法に思われるかもしれませんが、実のところ悪意を持った内部不正を完全に防ぐことは困難です。四六時中社員を監視し、行動を制約することが現実的に難しい以上、内部不正を起こすそもそもの動機を消し、「禁止するよりも抑止する」というアプローチを取ることがとても大切です。

LanScope Catで実現する内部不正対策

ここまで解説してきたように、内部不正に対しては、システム的なセキュリティ体制を強化することで抑止効果が期待できます。そこで紹介したいのが、MOTEX社の提供するネットワークセキュリティ統合管理ツール「LanScope Cat」です。

LanScope Catは、全国10,000社以上で導入されている国内トップクラスのネットワークセキュリティ統合管理ツールです。LanScope Catはマルウェアの感染など、外部からの攻撃への備えはもちろん、内部不正に対するセキュリティについても強力な対策を講じています。

LanScopeは高度なモニタリング機能を備えています。例えば、システム上で不正な操作がないか操作ログを解析したり、不正なサイトに従業員がアクセスしていないかWebアクセスログを調べたりすることも可能です。また、USBメモリなどのデバイス制御もできるので、サーバーにメモリを直接つなぐことによる重要機密の持ち出しも予防可能です。

さらにLanScope Catは、専門家でなくとも理解できるようなわかりやすい形でシステムレポートを提供し、どんなリスクがあるのかを「見える化」します。優れたセキュリティシステムを完備する効果は、内部不正を技術的に阻止するだけには留まりません。強固なセキュリティを完備しているという事実を社員たちに認識してもらうことで、内部不正という犯罪行為によって人生を踏み外さないよう社員を導くことにもつながるのです。

まとめ

本記事では、企業内で起こる内部不正について解説しました。内部不正を防止するためには、社員の満足度を高めて犯行に至る動機を減らすほか、システムのセキュリティを技術的に強化することが有効です。内部不正にも対応したセキュリティシステムをお探しの際は、ぜひMOTEX社の「LanScope Cat」の導入をご検討ください。

  • fb-button
  • line-button
  • linkedin-button

無料メルマガ

RELATED SITES

関連サイト

CONTACT

マイクロソフト関連ソリューションの掲載を
希望される企業様はこちら

TOP