編集部からのお知らせ
新着:記事選集「エッジコンピューティング」
PDF Report at ZDNet:「文章を書くAI」

内部不正の6割は“うっかり”、主な持ち出し手段はUSBメモリ--IPA

NO BUDGET

2016-03-04 07:00

 独立行政法人情報処理推進機構(IPA)は3月3日、「内部不正による情報セキュリティインシデント実態調査」の報告書を公開した。内部不正の約6割は故意が認められない“うっかり”であることや、“USBメモリ”が主な情報の持ち出し手段になっていることなどが明らかになった。

 この調査は、内部不正の発生とその対策状況などを把握し、内部不正の防止に向けた環境整備を促すためのもの。ウェブアンケート形式で実施期間は2015年11月25~30日。調査対象は業種別、従業員数別に抽出した民間企業の従業員など3652人と内部不正の経験者200人で構成される。

 IPAでは2012年にも内部不正についての意識調査を実施している。2回目となる今回は、民間企業の従業員と内部不正を行った経験を有する者(内部不正経験者)にアンケートを実施し、より実態を掘り下げる調査を目指したという。

 なお調査では、IPAが公開している「組織における内部不正防止ガイドライン」の定義に従い、違法行為だけでなく情報セキュリティに関する内部規程違反などの違法とまではいえない内部不正行為も含めているとしている。

 内部不正経験者に行為の理由を聞いたところ、「うっかり違反した」が40.5%、「ルールを知らずに違反した」が17.5%(合計58.0%)と、全体の約6割は故意が認められないものだった。一方、42.0%は故意によるもので、その理由は「業務が忙しく、終わらせるために持ち出す必要があった」が16.0%、「処遇や待遇に不満があった」が11.0%などとなっている。

 IPAでは対策として、管理者は扱う情報に格付けするといったルールや規則を明確にし、周知徹底してうっかりミスなどを防ぐことが有効としている。

 情報の持ち出しに使われた手段ではUSBメモリの利用が最多だった。

 組織での対策は、USBメモリをはじめとする外部記録媒体に関する利用ルールの徹底と利用制限が有効と考えられるが、その対策状況をみると従業員規模が300人未満の企業の過半数で「方針やルールはない」と回答している。

情報の持ち出し手段
情報の持ち出し手段(IPA提供)

 内部不正経験者と、経営者やシステム管理者とで有効と考える内部不正対策の違いが顕著だったのは「罰則規定を強化する」「監視体制を強化する」の2点だった。監視強化についての意識の差は前回調査でも同様の傾向が示されている。

 IPAでは、不正行為抑止のためには、監視だけでなく、監視している旨を通知することが有効であると指摘し、経営者とシステム管理者は、不正行為を思い留まらせるのに有効な対策を的確に把握し、実施する必要があるとした。

内部不正対策の違いが顕著となった
内部不正対策の違いが顕著となった(IPA提供)

 内部不正経験者の職務を尋ねたところ、51.0%がシステム管理者(兼務を含む)だった。システム管理者は社内システムに精通し、高いアクセス権限(特権)を有することが多いため、権限の最小化や分散、作業監視などの対策が有効であるとしている。

 全文はこちらからダウンロードできる。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]