1. 情報セキュリティブログ ホーム
  2. セキュリティニュース
  3. IPAが「組織内部者の不正行為によるインシデント調査」報告書を公開

IPAが「組織内部者の不正行為によるインシデント調査」報告書を公開

IPAが「組織内部者の不正行為によるインシデント調査」報告書を公開独立行政法人 情報処理推進機構(IPA)は、7月17日、「組織内部者の不正行為によるインシデント調査」の結果を報告書として公開した。これは、企業等の組織における内部不正防止を推進する目的で、内部不正の発生状況および誘導要因等に関する基礎的な調査として実施されたものだ。

調査は、実際に内部不正調査に携わった関係者へのインタビュー調査(20件)と国内の判例調査(10件)を実施。内部不正の現状を把握し、これらの結果を踏まえ、内部不正に関する意識調査を実施した。意識調査では、一般企業の社員3,000名と経営者・管理者110名にアンケートを行い、内部不正の誘発要因や抑止・防止が期待できる対策に関して調査が行われた。

調査によると、経営者が行う内部不正への対策は社員に対し有効に機能していない可能性が明らかになったという。

まず、企業の経営者・システム管理者に対して、内部不正について「効果があると思う対策」を尋ねたところ、「重要情報は特定の職員のみアクセスできるようになっている」「情報システムの管理者以外に情報システムへのアクセス管理が操作できないようになっている」と、アクセス管理による対策が重視されている一方、社員向けアンケートでは、「内部不正への気持ちが低下する対策」に「社内システムの操作の証拠が残る」ことが挙げられている。このように、有効と考える対策において管理される側の社員と管理する側の経営者・管理者の間で意識のギャップが見られる。

また、社員向けアンケートでは、内部不正の気持ちを高める要因として、組織における待遇面の不満に関する項目が上位を占めていることがわかった。同様に、期待できる内部不正防止対策としては、システムに操作記録が残るといった方法が上位を占めた。内部不正発覚後に追跡調査が可能な仕組みを設けておくと、防止効果が期待できると考えられる。

このことから、IPAでは、内部不正の対策として、技術面としては、デジタルフォレンジックに対応して、不正の証拠が記録されていると社員に通知すること、運用面としては、適切なアクセス権限を設定することがそれぞれ有効であると解説している。IPAでは、2012年度中に経営者やシステム管理者を対象として、内部不正を防止する環境の整備に役立つ、「組織における内部不正防止ガイドライン」を作成し、公開する予定だという。

「組織内部者の不正行為によるインシデント調査」報告書の公開(IPA)

関連キーワード:

IPA

インシデント

  • K子のちょっとセキュアな日常 Vol.10 オフィス内は思わぬ情報漏えいの危険がいっぱい
  • カテゴリートップへ
  • IPAが情報セキュリティ対策支援サイト「iSupport」を開設