情報セキュリティ上の内部不正を防ぐためのマネジメントシステムとは

情報セキュリティリスクは、外部からの攻撃だけではありません。内部の人間が情報を持ち出したり、情報を盗み出したりするケースも少なくはないのです。こういった内部の人的資源によるリスクを管理するためにはどのような対策を取るべきなのでしょうか？

内部不正による情報漏えい

ISMS において、情報セキュリティリスクといえばDos攻撃 やSQLインジェクション をついた攻撃を想像してしまいがちです。——もちろん、日々サイバー犯罪の件数は増加しており、大企業だけでなく中小企業の情報が狙われていることは事実であり、大きな脅威であることには変わりません。

——しかし、情報処理推進機構（IPA）の調査によると、情報セキュリティの10大脅威は以下のようになっているのです。

特にWEBアプリケーションなどから情報が盗み出されてしまうケースとして有名なものに、SQLインジェクションやクロスサイトスクリプティングがありますが、それよりも「内部不正による情報漏えい」のほうがより重大な脅威であるという位置付けがされているのです。

内部不正をどのように防ぐか

情報セキュリティリスクにおける内部不正とは、例えば顧客情報を従業員が持ち出してしまったり、誤った情報の取扱方を行ったりすることで発生するインシデントのことを指します。

こういった内部不正の手口としてはどのようなものがあり、どのように防ぐことができるのでしょうか？

外部との通信を監視する

一つの方法としては、社内と外部との通信を監視するという方法があります。例えば顧客情報を扱う部門の人間が、個人アドレスに対して顧客情報を送付するということは、技術的な対策を取っていなければ簡単に行うことができるでしょう。

しかし、技術的な対策を取ることができない場合というのも当然存在します。例えば、「メールを送信するたびに上長の承認を必要とするようにする」という制限を設けたとすると、日常の業務に大きな支障を来してしまうことになるでしょう。

こういったケースを回避するためには、「監視をする」ということが重要になります。——どういうことかというと、情報の流出を0にしようというアプローチではなく、情報が流出したとしても被害を最小限に食い止め、出処をいち早く特定し、適切な処置を取ることができるような体制を構築しておくということです。

端末使用の制限

一昔前とは異なり、現代はスマートフォンを持つ人が増えています。金融機関などではこういった通信端末は職場に持ち込めないように制限をかけていたりするのです。

なぜなら、顧客データを撮影した写真を撮影することで持ち出せたり、端末の録音機能を使用したりすることで、企業が追跡することができない範囲での不正が可能になってしまうためです。

時と場合にもよりますが、許可した端末以外は簡単に使用できないように制限をかけておくことも重要な管理策といえるでしょう。

PC持ち出しの管理

営業職の方などは、社用のノートパソコンを商談時に必要とするため持っていくようなケースもあるでしょう。——しかし、PCのような重要なデータが詰まった端末を外部持ち出しする行為は非常に危険です。

人為的なインシデントが発生しなかったとしても、PCをどこかに置き忘れてしまったり、紛失してしまったりすることで情報が流出するケースもないとは言い切れないのです。

このため、端末を持ち出すような場合には少なくとも持ち出していることを記録したり、商談用のパソコンを別途用意したりするなどして、適切な対処を行う必要があります。

まとめ

今回は、内部不正による情報漏えいを防ぐ管理策をご紹介してきました。人的資源のセキュリティリスクは、思いもよらないようなケースになってしまうこともありますが、危険度も非常に高く、取引先からの信用を損ねる要因にもなってしまいます。

内部不正を管理するために重要なことは、追跡可能な状態をつくることです。——もちろん、発生しない状態を作り出せるのであれば、それが良いに越したことはありませんが、可用性を損ねないように注意して管理策を構築していくように心がけましょう。

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。