近年、内部不正による情報漏洩が注目されていることをご存じでしょうか?
内部不正が発生すると、情報漏洩による直接的な損害のみでなく、組織に対しての第三者からの評価が低迷するなど、多方面に甚大な被害を及ぼすケースも少なくありません。
しかし、内部不正と聞いても
「実際どういった行為が内部不正に該当するのかわからない...」
「内部不正を防止するためにはどのような対策を講じるべきかわからない...」
といった声を耳にします。
そこで本記事では、内部不正に該当する行為や、内部不正を防止するための対策のポイントなどについて、詳しくご説明します。
なお、内部不正対策を実際に検討されている方は、「抑止ではなく"させない技術"」で企業を守るCWATの概要資料をご請求ください。
CWATは、以下のような特徴を持つ、情報漏洩対策ソリューションです。
- 情報漏洩のもととなる印刷、外部記憶媒体、メール、Webの利用を柔軟に制御可能
キーワードチェックにより自動で重要情報を検出し保護(機密キーワードはお客様によって変えられます)
- 部署やユーザーの権限に合わせてポリシー(ルール)を設定し、部署/ユーザー単位の監視・制御が可能
- 独自の暗号化機能によるファイル保護と閲覧制限(万が一漏洩しても閲覧不可)
- 重要情報に対する不正操作(コピー、ファイル名変更)の即時検知と管理者通知重要情報に対する不正操作(コピー、ファイル名変更)の即時検知と管理者通知
- 詳細な操作ログ取得によるリアルタイムの監視と不正操作の自動制御機能
- 日/英/韓/中(繁体・簡体)の多言語対応によるグローバルなセキュリティ対策
- CWATの資料を請求する
内部不正対策を検討されている方
目次
内部不正とはなにか
内部不正とは、企業や組織の関係者が、意図的に組織内部の情報を第三者に漏洩することや、改ざんならびに消去することを指します。
独立行政法人情報処理推進機構(IPA)が公表している「組織における内部不正防止ガイドライン」によると、内部不正の定義は以下のとおりです。
違法行為だけでなく、情報セキュリティに関する内部規程違反等の違法とまではいえない不正行為も内部不正に含めます。内部不正の行為としては、重要情報や情報システム等の情報資産の窃取、持ち出し、漏えい、消去・破壊等を対象とします。また、内部者が退職後に在職中に得ていた情報を漏えいする行為等についても、内部不正として取り扱います*1。
組織における内部不正防止ガイドラインによると、組織内で定められた情報管理のルールに反するなど、違法の一歩手前の行為についても内部不正に該当する場合があると記載されています。
また、内部不正の対象となる行為については、組織の現関係者によって発生する、社内の重要情報の持ち出しや流出、削除、損壊などの行為の他に、すでに退職した人間による現職時に取得した情報の流失などの行為も含むとされています。
内部不正による情報漏洩が与える影響
内部不正による情報漏洩が企業に与える影響として、主に以下の内容が挙げられます。
- 社会からの企業に対する信頼性の低下
- 問題対応にかかる金銭的負担
社会から企業に対する信頼性の低下
内部不正が発生した場合、外部関係者から情報の取り扱いや社内体制に疑問を持たれ、取引先や顧客、一般消費者からの信用を損なうリスクがあります。
さらに、受注の減少といった直接的な売り上げや利益の低下にもつながりかねないため、結果、企業の成長にも影響を及ぼす恐れがあります。
問題対応にかかる金銭的負担
情報漏洩により取引先や顧客の業務に支障が生じた場合、損害賠償責任が生じる可能性があります。
さらに、内部不正への対応に時間を取られることで日常業務が滞るだけでなく、被害の拡大を防ぐために業務自体を停止する必要が生じることもあります。その結果、利益損失という形で大きな影響を受ける場合もあります。
内部不正を引き起こす主な要因
内部不正を引き起こす主な要因は、「不正のトライアングル」として知られる3つの要素に集約されます。
- 動機
- 正当化
- 機会
不正行為につながる心理的なきっかけについて、アメリカの犯罪学者ドナルド・R・クレッシーは「不正のトライアングル」というモデル理論を定義しています*2。
「不正のトライアングル」では、人間が不正に走ってしまう理由として、人間を取り巻く環境や、それに由来する心理的状態が影響を及ぼしていることが示されています。「不正のトライアングル」を構成する3つの要素は以下のとおりです。
「動機」とは、不正行為を引き起こす心理的な契機を指します。具体的には、借金による金銭的な困難や、労働環境への不満といった心理的状況などが関与します。
「正当化」とは、不正行為を自己の行動として正当であると認識してしまう心理的状態を指します。例えば、「日常的なパワハラへの仕返しとして行うのは当然だろう」といった自己を正当化する思考が該当します。
「機会」とは、不正を働くことができる物理的な環境が存在している状況を指します。例として主に、操作ログの監視が行われていない、セキュリティが脆弱などの状態が挙げられます。
内部不正の主な手段
内部不正の主な手段として、以下があります。
- 重要情報へのアクセス権限を濫用した不正な接続
- 企業内部の関係者による、重要情報の不正な外部への持ち出し
- 退職者による業務アカウントの不正な使用
重要情報へのアクセス権限を濫用した不正な接続
内部不正の手段の1つとして、重要情報へのアクセス権限を濫用した不正な情報の入手が考えられます。この場合、業務を行ううえで必要な範囲で付与されたアクセス権限を悪用し、企業内部で保管されている機密情報を不正に閲覧または窃取することを指します。
特に注意すべきは、提携先組織や業務委託先企業の関係者が関与する場合です。これらの外部者が内部不正に関与するケースも想定されるため、アクセス権限の管理が一層重要になります。
したがって、重要情報へのアクセス権限は厳重に管理し、業務を外部の人間に依頼する際には秘密保持契約(NDA)を締結するなどの対策が効果的です。
また、定期的な権限レビューや監査を実施し、不正アクセスのリスクを最小限に抑えることも重要です。これにより、内部不正の防止と情報セキュリティの強化が期待できます。
企業内部の関係者による、重要情報の不正な外部への持ち出し
企業内部で保管しておくべき重要情報が、印刷や、メモリカードやハードディスクなどの記録媒体のコピーといった方法で、外部へ持ち出されることがあります。
悪意がなく無意識に行ってしまうケースもあるため、重要情報の管理体制の見直しや、情報を外部端末に書き出せないセキュリティ製品の導入といった対策が求められます。
退職者による業務アカウントの不正な使用
退職した元企業関係者が在籍中に使用していたアカウントを不正に利用し、企業の重要情報にアクセスする行為を指します。
このため、退職者のアカウント管理においては、閲覧権限や編集権限の更新、またはアカウントの解除など、迅速な対応が求められます。
内部不正防止の基本となる5原則
内部不正防止の基本となる5原則とは、IPA(独立行政法人情報処理推進機構)が定義する、内部不正を防止するための基本原則のことです。
IPAが発表している「組織における内部不正防止ガイドライン」内にて、内部不正防止の基本原則は次のように定義されています*3。
- 犯行を難しくする(やりにくくする): 対策を強化することで犯罪行為を難しくする
- 捕まるリスクを高める(やると見つかる): 管理や監視を強化することで捕まるリスクを高める
- 犯行の見返りを減らす(割に合わない): 標的を隠したり、排除したり、利益を得にくくすることで犯行を防ぐ
- 犯行の誘因を減らす(その気にさせない): 犯罪を行う気持ちにさせないことで犯行を抑止する
- 犯罪の弁明をさせない(言い訳させない): 犯行者による自らの行為の正当化理由を排除する
上記の5原則によると、内部不正を行いにくい社内環境を作ることや、それによって不正行為への心理的なハードルを高めることが、主なポイントであるとされています。
この5原則を意識することによって、内部不正のリスクを低減した職場作りが見込めるでしょう。
内部不正を防止するために行うべき対策のポイント
内部不正を防止するために行うべき対策のポイントを以下に記載します。
- 情報・端末管理についての社内規則を整備する
- 重要情報へのアクセス権限に制約をかける
- 内部不正につながりかねない行動を監視・制限する
- 従業員の内部不正を防止するための教育をする
- 内部不正対策ソリューションを導入する
情報・端末管理についての社内規則を整備する
情報・端末管理の社内規則を定めることは、組織内部の関係者が内部不正を働く動機を減少させ、不正がしにくい環境づくりにつながります。
また、主に以下の行為に対し、ルールを定めると良いでしょう。
- 社内端末の持ち出し
- USBメモリなどの記録媒体の持ち出し
- 私用の端末を用いた業務
- 重要情報の外部への持ち出し・書き出し
重要情報へのアクセス権限に制約をかける
情報へのアクセス権限を適切に制限することで、組織の関係者が不必要に重要情報に接触する機会を減らすことができます。これにより、内部不正によるリスクを軽減することが可能となります。
中でも効果的な手段は、業務上で必要な権限のみを付与する「最小権限の原則」を適用することです。これにより、情報セキュリティを強化し、組織における内部不正リスクを軽減することができます。
また、業務を行ううえで権限を使用する場面がなくなった際や、退職・異動があった際には、新たに権限を更新することも重要です。
内部不正につながりかねない行動を監視・制限する
従業員の業務活動を適切に監視する体制を整えることは、内部不正を抑制する効果があります。
例えば、従業員の端末の操作ログを監視し、それを周知することで、内部不正につながる不審な行動や怪しいサイトへのアクセスを未然に防ぐことができる可能性が高まります。
また、資料の複製などの情報持ち出しに関わる操作に制限を設けることで、不正行為の防止につながります。
従業員の内部不正を防止するための教育をする
内部不正を防止するためには、従業員に対し、どのような行為が内部不正にあたるのか、またその影響について教育することも有効です。
例えば、内部不正の具体例として以下が挙げられます。
内部不正の具体例
- 機密情報の無断持ち出し
- 顧客データの不正利用
- 企業資産の私的流用
- 経費の水増し請求
- 取引先との癒着や贈収賄
- 競合他社への技術情報の漏洩
内部不正によって引き起こされる影響
- 企業の信用失墜と経済的損失(例:損害賠償や補填)
- 顧客や取引先との関係悪化
- 罰金をはじめとする法的制裁
- 企業の競争力の大幅な低下
内部不正対策ソリューションを導入する
内部不正対策ソリューションを導入することで、主に以下の効果があります。
効果 | 詳細 |
リアルタイム監視 | ユーザーの行動をリアルタイムで監視し、不自然な行動や不正な操作を即座に発見することが可能です。その結果、トラブルが発生する前に対処できる可能性が向上します。 |
ログの取得と分析 | すべての操作ログを取得し、詳細に分析することで、不正行為の証拠を保全します。これにより、万が一の際にも迅速かつ正確な調査が可能になります。 |
教育と意識向上 | 内部不正対策ソリューションの導入は、組織内の関係者に対するセキュリティ教育や個々の自覚の向上にも寄与します。企業がセキュリティ対策を強化し、継続的に実施していることを明確に示すことで、従業員や関係者は自らの行動に一層注意を払い、セキュリティ意識の向上が期待できます。 |
コンプライアンスの強化 | 業界標準や法規制に準拠したセキュリティ対策を実施することで、コンプライアンスの遵守が強化されます。これにより、法的なリスクを軽減し、企業の信頼性を高めることができます。 |
迅速な対応能力 | 不正行為が発覚した場合でも、迅速に対応できる体制が整います。 |
- CWATの資料を請求する
内部不正対策ソリューションの導入を検討されている方
内部不正による情報漏洩に関するよくある質問
内部不正対策ソリューションとは何ですか?
内部不正に対するセキュリティソリューションとは一般的に、内部不正を未然に防止する、もしくは発生した際の被害を抑えることを目的としたセキュリティサービスのことを指します。
機能としては主に、従業員の操作・アクセスログの監視や、情報の外部への持ち出し制限などが挙げられます。
セキュリティ対策で内部不正は防げますか?
セキュリティ対策を行うことは、内部不正への効果的な対策の1つです。
また内部不正は、技術的な要因と人為的な要因が重なって発生することが少なくありません。そのため、内部不正を抑制するためには、従業員の意識的および心理的側面への対応策も併せて取り入れることが重要であると言えます。
出典 (参考文献一覧)
※1 IPA 独立行政法人 情報処理推進機構|組織における内部不正防止ガイドライン (参照日:2025-03-03)
※2 IPA 独立行政法人 情報処理推進機構|IPA NEWS Vol.64(2023年12月号), (参照日:2025-03-03)
監修者プロフィール
靜間 隆二(セキュリティイノベーション本部 CWAT製品企画部 部長)
当社入社から20年以上、情報セキュリティの事業に携わる。サイバー攻撃からの対策、内部不正による情報漏洩対策の両側面で専門知識を有する。中小~国内を代表する上場企業まで幅広いセキュリティ対策を支援した実績あり。
株式会社RE-HEART 代表取締役CEO
小山雄太
Webシステム開発とITコンサルティングを中心に、要件定義から設計・開発、および運用支援まで多様な経験を持つ。近年はAWSを基盤としたクラウドインフラの設計・構築に注力し、
クライアント企業様に向けたセキュリティ対策やDevOps推進を支援する。