内部不正を防ぐために行っておきたいセキュリティ対策の方法

【投稿日】 2022年8月23日 【最終更新日】 2022年9月4日

企業にとって、内部不正による情報漏洩は、重大なインシデントです。

日本国内では、2014年に大きな情報漏洩事件が起き、それ以降、内部不正による情報漏洩事件が後を絶ちません。

内部不正による情報漏洩は、外部からの攻撃よりも被害額が大きく、企業の信用に大きなダメージを与えます。

しかし、自社の従業員に対する過信から、リスクを軽視して対策を後回しにしたり、内部不正によるインシデントが発生しても、会社の信用や風評被害を恐れて組織内部で処理されたりするため、十分な内部不正対策が進んでいないのが現状です。

そこでこの記事では、内部不正防止対策について、基本原則から体制づくり、具体的な対策方法などを細かく解説していきます。

内部不正における７つの重要な環境変化

IPA(独立行政法人情報処理推進機構)の内部不正防止ガイドラインでは、近年のコロナ禍を契機としたテレワークの普及・進展等による新しい働き方への移行、雇用・人材の流動化の加速、また個人情報保護法や不正競争防止法等の改正・産業競争力強化法の施行など、最近の社会環境・動向の変化や、セキュリティ関連技術の変遷など、7つの重要な環境変化に即して、内部不正対策を行うことが重要だとしています。

7つの重要な環境変化とは、以下の通りです。

こうした変化に即して、内部不正対策を行うには、どのようにしたらいいのでしょうか。

内部不正対策の基本原則に基づいて、内部不正対策について一つひとつ見ていきましょう。

内部不正防止の基本原則

そもそも内部不正対策の基本原則とは、何でしょうか。

IPAの挙げている基本原則は、以下の5つです。

引用元：独立行政法人情報処理推進機構「サイバーセキュリティ対策・内部不正防止対策」

犯行を難しくする(やりにくくする)

「アクセス権を管理する」「対象の防御策を強化する」「施設への出入りを制限する」「出口で検査する」「犯罪者をそらす」「情報機器やネットワークを制限する」などが、犯行をやりにくくするために有効です。

具体的な対策は以下の６つです。

捕まるリスクを高める(やると見つかる)

「ログの記録を定期的に確認する」「監視を強化する」「匿名性を減らす」「現場管理者を採用する」「監視体制を強化する」などが、捕まるリスクを高めるために効果的です。

具体策は、以下の７つです。

犯行の見返りを減らす(割に合わない)

「コピーやメールを制限する」「標的を隠す」「対象を排除する」「所有物を特定する」「市場を阻止する」「利益を得にくくする」などが、持ち出しを困難にし、標的を隠し、犯行の見返りを減らすために効果的です。

具体策は以下の６つです。

犯行の誘因を減らす(その気にさせない)

「欲求不満やストレスを減らす」「対立を避ける」「感情の高ぶりを抑える」「仲間からの圧力を緩和する」「模倣犯を阻止する」など、職場環境を整え、職場の人間関係の信頼度を高めることが、犯罪を行う気持ちにさせないために有効です。

具体策は以下の４つです。

犯罪の弁明をさせない(言い訳させない)

「規則を決め、周知する」「指示を掲示する」「良心に警告する」「コンプライアンスを徹底する」などが、内部不正の正当化理由(言い訳)を排除するために効果的です。

具体策は以下の７つです。

内部不正対策の体制

効果的な内部不正対策をするためには、経営者が、内部不正に起因するインシデントは企業の競争力を弱め、企業価値の毀損に繋がるリスクであることを認識し、情報の適切な管理・取り扱いを求める法令への対応だけでなく、その対策に関して組織の内外に責任を持ち、積極的に関与し、推進していくことが重要です。

経営者の関与は、組織内における内部不正対策に関わる意識の向上を図る上でも、実施策の周知徹底を図る上でも、重要な役割を果たします。

具体的な実施策の策定及び周知徹底には、組織全体での取り組みが不可欠であり、指示が組織全体に伝わり、実施状況が集約されて、経営者が把握できるような体制作りが必要です。

ここでは、それぞれの具体的な役割を解説していきます。

最高責任者

内部不正対策においても、内部統制と同様に、最高責任者の役割を定めることが重要です。

内部不正対策には、予算や人事権が必要であり、責任を持ってそれらの権限を実施する責任者が必要です。

最高責任者は、内部不正対策の基本方針を策定し、これを取締役会の決議で決定します。

また、最高責任者は、企業等の経営を理解し、具体的な対策を実施・推進する役割である統括責任者を任命します。

総括責任者

統括責任者は、内部不正対策を具体的に推進し、組織全体の対策を実施及び確認をするとともに、各事業部門と経営者を仲介する役割を担います。

この仲介という役割は、内部統制における内部統制委員会等の役割でもあります。

したがって、組織に内部統制委員会等が存在する場合には、委員会の委員で、リスク管理・事業継続・コンプライアンス等を担当する取締役員等が、統括責任者を兼任することが望ましいでしょう。

各部門／担当者の参画及び協力体制

内部不正対策においては、例えば、総務部門における職場環境の整備、人事部門における教育及び各種内部規定の整備のように、多くの部門が関係する総合的な対策が求められるため、様々な部門や担当者の積極的な参画・協力が必要です。

さらには、統括責任者の直下で、様々な部門や担当者の参画・協力を一元的に統括する責任部門とその責任者を置くことが必要であり、例えばリスク管理部門・人事部門等がその役割を担います。

参画・協力する様々な部門の規模が大きい場合には、部門ごとの責任者の参画も必要です。

また、テレワークや雇用の流動化など、社会環境や企業の事業環境が複雑化することで、内部不正リスクの評価や、従業員のメンタルヘルスなどに高い専門性が求められるようになってきました。

したがって、従業員を守り、働く環境を改善することを目的として、今後は外部の専門家による支援を体勢に組み込むことも選択肢となるでしょう。

引用元：独立行政法人情報処理推進機構「組織における内部不正ガイドライン」

2つの内部不正対策

内部不正の発生を防ぐには、内部不正を行う前の対策と、発生してしまった後の対策の双方を想定して、対処法を講じておくことが重要です。

内部不正を未然に防ぐための対策

内部不正を未然に防ぐための対策としては、不正の要因となる「不正のトライアングル」の3つ全てを発生させない取り組みが重要です。

「不正のトライアングル」とは、人的要因である「動機」と「不正の正当化」、技術的要因である「実行機会」を指します。

「動機」とは、「会社の待遇への不満」や「会社から不当な要求を受けたこと」、「杜撰な管理体制につけ込み、発覚しないと思ったこと」「個人的な借金があり、金銭に困っていたこと」などが主体となっています。

これらは、不正の言い訳ともなり、「不正の正当化」とも言えるものです。

また、「実行機会」とは、主に内部不正が行われる技術的要因である「杜撰な管理体制」が挙げられます。

この３つのうち、不正そのものを実行できない状態にする「実行機会」の阻止は重要になるでしょう。

システム上で管理・監視体制を整え、不正に至らないよう対処しておくことで、内部不正の発生確率を低く抑えることができます。

内部不正発生後の対策

内部不正が起こってしまった時は、最優先に再発を防ぐ取り組みを行うことが重要です。

発生要因の具体的な特定を行って、その要因を社内から取り除くため、人的・技術的両側面から実効的な対処をします。

また、不正を起こしても得られるものはなく、失うものの方が多いということを、内部関係者に知ってもらうための指導・教育の見直しなども行わなければなりません。

内部不正防止のセキュリティ対策

ここからは、内部不正防止のセキュリティ対策を具体的にお伝えしていきます。

全部で12個ありますが、どれも重要なため、内部不正防止体制とともに、できる限りの施策を施していきましょう。

PC管理の徹底

会社で購入したPC台数や、インストールしているソフトウェアのバージョンを把握することは、あらゆる対策の基本となります。

専任のIT 管理者がいない場合や、本社以外の拠点がある場合には、ネットワーク上のPCを一元管理できるツールが便利です。

未知の脅威への対策の徹底

不正行為を未然に防ぐには、それに至る可能性を含んだ異常な振る舞いから発生を予期し、怪しいと思われるシステムの動作や、その特徴を検知する対策も有効です。

これは、「振る舞い検知」と呼ばれ、近年のセキュリティシステムには、パッケージ内に導入されているものも増えています。

サイトアクセスの実態の把握とアクセス権管理

改ざんされたサイトにアクセスすると、閲覧するだけでマルウェアに感染したり、個人情報の搾取を目的とした偽サイトに誘導されたりするケースがあります。

業務上不要なサイトにアクセスしていないか、アクセス履歴を記録し、不適切なサイト閲覧がある場合は、制限することも必要です。(URLフィルタリング)

また、情報システムにおいて、限定された利用者のみが重要情報にアクセスできるように、利用者ID及びアクセス権の登録・変更・削除等に関する承認手順や設定終了報告等の手続き定め、手順を決めて運用するようにします。

重要情報へのアクセス権の登録・変更・削除の申請においては、当該情報の管理責任者の許諾を得るようにすることも重要です。

データの利用実態の把握

PCログインや、フォルダアクセスを制限しても、メールやUSBメモリなどでデータ(ファイル)を共有しているケースがあります。

不適切なデータ利用を把握するには、データ(ファイル)へのアクセスを含むPC操作を全て記録することが望ましいでしょう。

私物端末のアクセス制限

経費節減や業務効率化などの理由で、社員の個人所有端末を業務で使用する「BYOD (Bring your own device)」を取り入れたり、働き方改革としてテレワーク等を検討したりする場合は、セキュリティレベルが低下しないような対策をセットで行うことが重要です。

社員が会社の管理下にない端末で業務活動を行う、いわゆるシャドーITによる被害を防止するには、許可されていない端末を検知するといった対策が有効になります。

外部メディアの利用制御と持ち出し制御

USBメモリ持ち出しによる内部不正の事例が多いように、外部記憶媒体が簡単に持ち出せる状況が当たり前であればあるほど、盗難などの不正リスクも高くなります。

USBメモリの他、CD、DVD、BD、外付けハードディスクなどの外部メディアに関しては、システム上での利用制御や、強制的な暗号化などの対処が、特に重要になるでしょう。

また、指定したファイルの持ち込み・持ち出しのみ許可し、未申請ファイルは検知するようにしたり、ファイルのプロトコルの実行を制御したりすることで、ファイル転送自体を制御し、また申請のないファイルの持ち出しを検知できます。

一方で、申請も承認もある正規のアクセスの中で、顧客情報を含んだファイルを紛れ込ませて不正に転送されてしまうケースも考えられます。

この場合は、責任者がファイルの中身をきちんと閲覧し、顧客情報等の重要情報が含まれていないかを確認することが必要です。

ログの記録と活用

従来は、「事後追跡」「原因究明」の際に保管されている事が多かったログですが、ログにはあらゆる行動の証跡が残されており、これらを有効に活用することで、内部からの情報漏洩に繋がる「予兆」がないかを早期検知することができます。

PC、ファイルサーバ、スマートデバイスなどの操作ログを取得し、DBアクセスをリアルタイムで検知、各機器のログ操作をリアルタイムで相関分析できるようなシステムを導入すると良いでしょう。

リモート接続を含むユーザーの全ての操作を画像で記録し、危険な操作をリアルタイムで通知したり、ユーザーが悪意ある操作を実行しようとした場合、即座にユーザーの操作をブロックしたりするようなシステムもあります。

ファイルの自動暗号化

個人情報・機密情報を検知したタイミング、USBデバイスにファイルを書き出したタイミング、送信メールにファイルを添付したタイミング、クラウドストレージへファイルをアップロードしたタイミングなどで、ファイルを自動暗号化するシステムがあります。

これにより、うっかりミスや、重要情報を不正に持ち出そうとした場合の情報漏洩リスクを軽減することができるでしょう。

社内ルールの整備と周知徹底

内部不正に関するルールや罰則の周知徹底は、内部不正の抑止となります。

情報の持ち出しに対するルールを設けることで、内部不正だけでなく、不注意やミスによる情報流出も防げます。

特に、テレワークの場合は、情報を持ち出しやすいため、禁止事項を定めた明確なルールを整備しましょう。

その際、罰則規定を定めるのも効果的です。

ルールは、整備するだけでなく、その内容を周知徹底して、社員に理解してもらわなければなりません。

ルールを定めても、社員が内容を理解していないと意味がないため、説明会を行ったり、わかりやすい資料を用意したりして、社員に周知徹底しましょう。

職場環境の整備と社員の不満解消

労働環境が悪い職場だと、内部不正の「動機」や「正当化」が生まれてしまいます。

職場環境を整備して、風通しが良く、社員が自分らしく生き生きと働ける職場環境にしましょう。

特に、給与や人事評価に対する不満、上司や同僚との人間関係のトラブルは、内部不正の主要な動機となり得ます。

「評価基準が不明確」「パワハラが行われている」などは、放置しておくと、どんどん社員の不満が溜まっていくものです。

適正な給与体系を整えたり、評価基準を明確にして公正な人事評価を行い、評価結果についてフィードバックしたり、社員の努力に応じて称賛・表彰の場を作ったりすると良いでしょう。

また、ハラスメントの相談窓口を設置することや、上司や同僚に率直に発言できる雰囲気を作ることで、社員の不満を解消できるようにしましょう。

担当者の負担軽減

多くの企業では、専任の担当者を確保することは、業務負担とスキルの両面から、なかなか難しい問題です。

有効な対策サービスの導入によって、担当者に過度に業務負担が増えないよう、機能面で適切なサービスを選ぶとともに、サポート条件(受付時間や手段)の確認も重要になります。

変化に対応した対策強化

昨今の社会環境の変化に対応した対策の強化も必要です。

具体的には、テレワーク・クラウドの普及に伴う対策、退職者・転職者の増加に対する対策、新技術の対策などです。

テレワーク・クラウドの普及に伴う対策

テレワーク・クラウドの普及により、本社以外で仕事をする社員も増加しています。

重要情報の保存場所・管理者を明確にし、クラウド利用ルール、テレワーク端末からのクラウド利用統制を徹底しましょう。(クラウドプロキシ・CASB等)

また、テレワーク端末の記録媒体を暗号化し、エンドポイントを含めたログの取得と分析をして証拠保全することで、「やると見つかる」という状況を作り出すことができます。

退職者関連対策

退職者・転職者の内部不正を防止する目的で、システムのモニタリングを行うことは、内部不正抑止策として有効です。

ただし、プライバシーやコンプライアンスに則って、モニタリングの目的と実施について、周知・合意があることが前提となります。

正しく業務を行っている役職員を保護するためであることを、広く周知しておきましょう。

退職者関連対策としては、在職中アカウントのタイムリーな削除と、退職後の秘密保持策や、競合避止対策の整備が必要です。

振る舞い検知等の新技術対策

PC・システム上における振る舞い検知を含む各種モニタリングは、AIの技術活用が有効です。

ただし、役職員の人権・プライバシーに配慮した上で、分析をAIに任せず、人間による「判断」とAIによる「自動化・効率化」を組み合わせた運用を行うことが重要です。

また、モニタリングを労働規約等で周知し、組織としてモニタリングの説明責任を負うことも重要であると言えます。

内部不正防止対策は技術面と人材面の両方から！怪しい人物については、探偵を活用して事前調査を！

内部不正防止対策について、その基本原則から、体制作り、具体的なセキュリティ対策を述べてきました。

内部不正防止対策は、セキュリティシステムの導入や、管理体制の強化など、技術面の対策と、「動機」や「正当化」を生まないような職場環境の整備など、人材面の両方から行うことが重要であると言えるでしょう。

また、内部不正が疑われる怪しい社員や、役員などについては、内部不正が起きる前に探偵事務所などに依頼をして、事前にその行動などを秘密裏に調査するようにしましょう。

探偵事務所SATでは、企業の内部や信用調査などを多数行ってきた実績があり、内部不正に関する特定の人物の調査なども行っております。

内部不正が起きてしまってからではどうしようもありません。事前にもし疑いのある人物が特定できているのであれば、その人物の行動や経歴（本当の経歴や過去の犯罪歴）、交友関係などをしっかりと調査し、対策すべきです。

内部不正が起きてしまう前に、兆候が見られたタイミングで、まずはメールやお電話にてお気軽にご相談ください。相談自体は無料です。