独立行政法人情報処理推進機構(IPA)は3月3日、「内部不正による情報セキュリティインシデント実態調査」の報告書を公開した。内部不正の約6割は故意が認められない“うっかり”であることや、“USBメモリ”が主な情報の持ち出し手段になっていることなどが明らかになった。
- TechRepublic
Japan関連記事:今必要なのはセキュリティコックピット--再注目されるSIEMの意義
- インシデント発生時に迅速、正確に原因を突き止める“第3世代”SIEM--EMCジャパン
- スキーマ不要でログを収集、検索、分析するSIEMの次世代性--Splunk
- 検知後の行動も定義、“グレー”な振る舞いを見極めるSIEMの分析力--HPE
- “マグニチュード”で危険度を数値化するSIEMのインテリジェンス--日本IBM
- セキュリティ対策をライフサイクルで捉えるこれからのSIEM--マカフィー
この調査は、内部不正の発生とその対策状況などを把握し、内部不正の防止に向けた環境整備を促すためのもの。ウェブアンケート形式で実施期間は2015年11月25~30日。調査対象は業種別、従業員数別に抽出した民間企業の従業員など3652人と内部不正の経験者200人で構成される。
IPAでは2012年にも内部不正についての意識調査を実施している。2回目となる今回は、民間企業の従業員と内部不正を行った経験を有する者(内部不正経験者)にアンケートを実施し、より実態を掘り下げる調査を目指したという。
なお調査では、IPAが公開している「組織における内部不正防止ガイドライン」の定義に従い、違法行為だけでなく情報セキュリティに関する内部規程違反などの違法とまではいえない内部不正行為も含めているとしている。
内部不正経験者に行為の理由を聞いたところ、「うっかり違反した」が40.5%、「ルールを知らずに違反した」が17.5%(合計58.0%)と、全体の約6割は故意が認められないものだった。一方、42.0%は故意によるもので、その理由は「業務が忙しく、終わらせるために持ち出す必要があった」が16.0%、「処遇や待遇に不満があった」が11.0%などとなっている。
IPAでは対策として、管理者は扱う情報に格付けするといったルールや規則を明確にし、周知徹底してうっかりミスなどを防ぐことが有効としている。
情報の持ち出しに使われた手段ではUSBメモリの利用が最多だった。
組織での対策は、USBメモリをはじめとする外部記録媒体に関する利用ルールの徹底と利用制限が有効と考えられるが、その対策状況をみると従業員規模が300人未満の企業の過半数で「方針やルールはない」と回答している。
情報の持ち出し手段(IPA提供)
内部不正経験者と、経営者やシステム管理者とで有効と考える内部不正対策の違いが顕著だったのは「罰則規定を強化する」「監視体制を強化する」の2点だった。監視強化についての意識の差は前回調査でも同様の傾向が示されている。
IPAでは、不正行為抑止のためには、監視だけでなく、監視している旨を通知することが有効であると指摘し、経営者とシステム管理者は、不正行為を思い留まらせるのに有効な対策を的確に把握し、実施する必要があるとした。
内部不正対策の違いが顕著となった(IPA提供)
内部不正経験者の職務を尋ねたところ、51.0%がシステム管理者(兼務を含む)だった。システム管理者は社内システムに精通し、高いアクセス権限(特権)を有することが多いため、権限の最小化や分散、作業監視などの対策が有効であるとしている。
全文はこちらからダウンロードできる。
