SOLUTION BRIEF

内部不正を防ぐためのセキュリティ対策

内部不正を防ぐ対策と環境づくり企業企業や組織の内部にある人間が重要な情報を盗み出すなどの不正行為を行う「内部不正」。情報漏えい事故のうち、内部不正が原因のものはわずかです。しかし、事故 1 件あたりの漏えいデータ数は非常に多いことが特徴です。企業などは、外部からの脅威だけでなく、内部の脅威にも対策が求められます。

・内部不正はなぜ発生するのか・不正のトライアングル・内部不正は、システム対策と体制構築を

内部不正はなぜ発生するのか

情報漏えい事故がしばしばニュースになりますが、特に内部不正が原因である場合は大きく報道される傾向にあるようです。犯罪者が内部にいたというのは話題性がありますし、多くの人が興味を持つためでしょう。しかし、内部不正による情報漏えいが発生しても、公表しないケースも多くあります。漏えいした情報が個人情報でなければ、個人情報保護法による公表義務もありませんし、公表することで企業などのブランドイメージが失墜することを怖れてしまうようです。このため、ニュースになる内部不正は氷山の一角であると考えられます。

内部不正の定義は難しいところですが、犯罪を行う主体は一般的に従業員や元従業員、派遣社員、さらに業務委託先や業務提携先、グループ会社、協力会社、海外子会社まで含まれます。また、その行為も情報の持ち出しだけでなく、背任行為やスピンアウト、メールの転送やグループウェアの悪用、システム破壊などの妨害行為まで含むケースが多くなっています。

その実態については、経済産業省が2013年に発表した「人材を通じた技術流出に関する調査研究報告書」からうかがうことができます。内部不正を行う主体では、「中途退職者（正社員）」が50.3％と最も多く、「金銭目的等の動機を持った現職従業員」（10.9％）、「中途退職者（役員）」（6.2％）なども目立ちます。また、漏えい先は「国内の競合他社」が46.5％と突出して高く、「外国の競合他社」も10.8％あります。

企業が大きなダメージを受ける内部不正犯罪

Solution Brief

営業秘密の漏えい先

出展：経済産業省「人材を通じた技術流出に関する調査研究報告書（2013年3月）」

営業秘密の漏えい者※複数回答の上位8項目

中途退職者（正社員）による漏えい

現職従業員等のミスによる漏えい

金銭目的等の動機をもった現職従業員による漏えい

取引先や共同研究先を経由した漏えい

中途退職者（役員）による漏えい

定年退職者による漏えい

契約満了後または中途退職した契約社員による漏えい

取引先からの要請を受けての漏えい

50.30%

26.90%

10.90%

9.30%

6.20%

6.20%

5.70%

5.70%

※過去5年間で「明らかな漏えい事例」が1回以上あったと回答した企業での流出先

国内の競業他社

国内の競業他社以外の企業

外国の競業他社

外国の競業他社以外の企業

わからない

その他

0% 10% 20% 30% 40% 50%

46.5%

14.1%

10.8%

3.8%

17.8%

18.4%

内部不正を行う動機を高める要因は、組織に対して何らかの不満を抱いていることがきっかけになっていることが伺えます。同調査によると「不当だと思う解雇通告を受けた」（34.2％）、「給与や賞与に不満がある」（23.2％）、「社内の人事評価に不満がある」（22.7％）などが回答の多くを占めました。また、「社内の誰にも知られずに、顧客情報などの重要な情報を持ち出せる方法を知っている」（16.4％）、「かつて同僚がルール違反を行ったことが発覚したが、社内で処罰されなかった」（16.1％）などの回答もありました。

不正行為への気持ちを高める要因内容 割合順位

34.2%1

23.2%2

22.7%3

20.8%4

20.1%5

18.7%6

18.3%7

17.8%8

16.4%9

16.1%10

出展：IPA「組織内部者の不正行為によるインシデント調査　調査報告書（2012年7月）」

不当だと思う解雇通告を受けた

給与や賞与に不満がある

社内の人事評価に不満がある

職場で頻繁にルール違反が繰り返されている

システム管理がずさんで顧客情報を簡単に持ち出せることを知っている

社内ルールや規則に違反した際、罰則がない

上司の仕事の取り組み方や上司の人間性に不満がある

職場で人間関係のトラブルがある

社内のだれにも知られずに、顧客情報などの重要な情報を持ち出せる方法を知っているかつて同僚がルール違反を行ったことが発覚したが、社内で処罰されなかった

内部不正は、業務としてアクセスできる重要情報を盗み出すため、1回の漏えい事故における漏えい件数や損害額が非常に大きくなる傾向があります。例えば、企業の技術者が退職前に、業務提携先の企業の研究データを持ち出し、退職後に海外の競合企業にデータを提供する見返りに、好待遇で転職していたケースがありました。転職先の企業はデータをもとに新製品を発売し、データを持ち出された提携先の企業の損害額は1000億円を超えました。内部不正の被害に遭った企業は、こうした損害に加え、銀行やステークホルダーなどの信頼を失ったり、ブランド失墜による顧客離れなど、深刻な打撃を受けてしまいます。

Solution Brief

秘

NAND型フラッシュメモリ研究データ（営業秘密）

研究データをコピーし、不正に持ち出して退職

1 研究データを提供する見返りに好待遇で転職

2 研究データを使用して製造

3

業務提携

F社 G社

処遇に不満

秘

H社

秘

¥

損害は1,000億円を超える…

不正のトライアングルを成立させない内部不正でも、特に重要なデータにアクセスできる権限を持つ従業員が犯行に及んだ場合は、検知しづらいという問題があります。これは業務として重要なデータを扱う機会が多いため、不正行為かどうかを判断しづらいためです。ただし、業務においても重要な情報を社外に持ち出すケースは非常に少ないため、それをシステムで検知することは可能です。また、人の感情が原因となるケースが多いので、普段からの意思疎通も重要なポイントといえます。

人はなぜ不正を起こすのでしょうか？不正の発生要因を理解する考え方として、「不正のトライアングル」という考え方があります。これは、米国の組織犯罪研究者ドナルド・Ｒ・クレッシーが体系化したもので、要因分析によく活用されます。不正は「動機・プレッシャー」「機会の認識」「正当化」の3つの要因が揃うと発生率が高まります。「動機・プレッシャー」は業務や待遇に対する不満、納得のいかない叱責、業務や責任の心理的負担など、不正の契機です。「機会の認識」は不正を行うことが可能な物理環境やルールの穴など、 不正行為が可能な状況を認識していることです。「 正当化」は不正行為の実行を勝手に肯定しようとする思考です。この3つの要因が揃ったときに、人は不正を働くといわれています。

Solution Brief

不正のトライアングル

内部不正行為は、衝動的に行われるケースは少ないといいます。日頃から不満などを感じるごとに、「このデータを持ち出して活用したら」と考えますが、そうそう実行するものはありません。しかし、そうした不満が溜まっていくと、持ち出す際の方法を考えてみたり、実際に準備を始めたりするようになります。また、この時期から退職した元同僚や先輩などとのメールのやり取りが多くなり、転職をうらやんだり、自分も転職を考えているなどの言葉が多くなるといいます。そしてさらに不満が募り、「不正のトライアングル」が揃ったときに内部不正を行うのです。とはいえ、メールの内容まで監査することは難しいでしょう。

内部不正の兆候はメールに現れる

内部不正は「不正のトライアングル」が揃ったときに起きるといいますが、逆に言えばトライアングルが揃わないようにすれば、内部不正の発生確率をかなり抑えることができるといえます。不正のトライアングルのうち、動機は個人の感情なのでコントロールは難しいですが、正当化の兆候を検知したり、機会を与えないようにすれば、内部不正を未然に防げる可能性が高くなります。また、そうした対策を行っていることを本人に認識させれば、それが抑止効果になることも期待できます。

行動を記録し、それを意識させる

不正のトライアングル

機会の認識

不正を起こせる機会がある

動機・プレッシャー不正を働く動機やプレッシャーが

ある

正当化正当な行為と考える

Solution Brief

内部不正は、システム対策と体制構築を内部不正対策には、システム的な対策と、内部不正を行わせないような体制構築が有効です。システム的な対策には、重要なデータを自動的に検出し、社外へ持ち出せないようにしたり、たとえ社外に持ち出すことができても中身を見ることができないようにするDLP（Data Loss Prevention）が有効です。また、体制構築には企業のセキュリティ戦略やガバナンスの策定、そして教育やトレーニング体制の整備が有効です。マカフィーでは、DLPソリューションとコンサルティングサービスによって、内部不正対策に有効なシステム的な対策と体制構築支援を提供しています。

マカフィーでは、目的や用途に合わせて複数のDLPソリューションをラインアップしています。マカフィーのDLPソリューションは、重要なデータを自動的に検出し、カテゴリ化と分類を行い、暗号化されていないものや、削除や移動すべきなのに実施されていないものを優先して暗号化や削除などの処理を行います。そのため管理者やユーザの手間を増やすことなく、的確に重要なデータを保護します。

マカフィーのDLPソリューション

データ保護のユースケースモデル

Windows PC、ノートPC、 タブレット、Macの暗号化

Windows Mac

USBデバイスとCD/DVDの暗号化

社員による顧客データの印刷、コピー、 メール送信の保護

機密情報の洗い出しと保護

認可されたユーザやパートナーのみ機密データへのアクセスを許可する

クラウドへのデータ転送の保護

データの中身を識別し、侵入に対する

調和のとれた対応

　特にエンドポイント対策製品「McAfee DLP Endpoint」では、オンプレミス、クラウド、エンドポイントなど、重要なデータを保存場所に関係なく保護する「データのコントロール」、メール送信やWebへの投稿、印刷、コピー、キャプチャなど危険を伴う操作を監視し、問題解決を支援する「ユーザ動作の追跡」、Threat Intelligence ExchangeとData Exchange Layer（DXL）の統合により、不正と認識されたアプリケーションでの機密データの処理を防止する「脅威対策の強化」などの機能により、内部不正に対応します。

Solution Brief

DLP Prevent

DLP Monitor

DLP Discover

Drive Encryption

DLP Endpoint

File and removable Media Encryption

Device Control

101101100110101001

011001101010011011

1011011001101001

データタイプ

移動中のデータ

休止中のデータ

使用中のデータ

データ漏えいの経路 ソリューション

マカフィーでは、内部不正対策における体制構築のソリューションとして、プロフェッショナルサービスを提供しています。プロフェッショナルサービスには、「上流コンサルティングサービス」「設計支援・製品導入」「診断・調査」「教育・トレーニング」「運用支援・緊急対応」などが含まれています。

具体的には、上流コンサルティングサービスでは、内部不正対策に有効なセキュリティ戦略やガバナンス支援を提供します。これにより、内部不正対策にとどまらず、国際的なセキュリティ基準に準拠することも可能です。また、インシデントを検知するSOC（Secur i ty Operat ion Center）や、検知したインシデントに対応するCSIRT（Cyber Security Incident Response Team）の構想立案から運用設計にも対応し、情報漏えい対策としてのDLPのルールやプロセスの策定も行います。これらの体制構築は、内部不正の抑止効果も期待できます。

マカフィーの教育・トレーニングサービスは、マカフィーがグローバルなプロフェッショナルサービスで培ったノウハウを体系化し提供するもので、座学と演習を組み合わせた極めて実践的な内容となっており、セキュリティエンジニアの養成が必要な組織だけではなく、企業や教育機関におけるIT教育プログラムの一環としてもご利用いただけます。これにより社員のモラルを向上し、内部不正を行わせない土壌を養成します。

プロフェッショナルサービスでは、総合的かつ継続的な運用支援や緊急時の対応も提供しています。「オンサイトセキュリティ運用支援」では、業務に精通したコンサルタントを派遣し、セキュリティ運用業務の高度化や改善支援を行います。また「IRサービス」では、インシデント発生時の影響範囲の調査や原因究明に向け、関連ログの分析、ハードディスクの分析などのフォレンジック、要員派遣によるオンサイト対応支援などを行います。さらに、主にCSIRTを対象にソフトウェアの脆弱性や脅威に関する最新情報をお届けする「情報提供サービス」も提供しています。

Solution Brief

マカフィーのコンサルティングサービス

平常時

緊急時

セキュリティ上流アドバイザリー

セキュリティ戦略アドバイザリー

セキュリティ管理態勢改善支援

情報漏えい対策支援

教育／トレーニング

一般社員向け教育システム管理者／

開発者向けトレーニング

調査／監査

セキュリティ調査／監査

脆弱性診断

インシデント対応支援サービス エクスプレスサービス

弊社製品管理者向けトレーニング

CSIRT・SOC構築支援

技術的設計/実装支援セキュリティ設定

ベースライン策定支援

情報漏えい対策設計・実装支援

システムセキュリティ管理支援

弊社製品導入支援

診断調査

設計支援製品導入

運用支援緊急対応

教育トレーニング

上流コンサルティングサービス

スマートフォンのPC充電情報の持ち出しについては、使用できるデバイスを限定することで、ある程度防ぐことができます。例えば、社内で使用できるUSBメモリを、製品のメーカーや型式で限定したり、製品固有のシリアルナンバーで個別に規制できる対策製品もあります。ただし、最近ではモバイルデバイスを悪用するケースもあります。以前に話題になった大規模情報漏えい事故では、委託先の社員がスマートフォンを充電しようとしたところ、外部記録装置として認識され、しかもデバイス制御の対象になっておらず、個人情報のデータをコピーできました。これは、スマートフォンの機種によっては、スマートフォンをPCに接続したときに「USB記録装置として動作する」という設定があり、前述のケースではこの機能を有効にしていたと思われます。デバイス制御製品では、この事故後にすぐ対応しましたが、その後、スマートフォンを「デバッグモード」に設定することでデータをコピーできる問題が発覚、対応が急がれました。このように、デバイスの進化が企業内にあるデータを持ち出す「穴」になるケースが増えています。こういったケースは今後もくり返されるでしょう。また、最近ではクラウドサービスを介して情報を持ち出すケースも増えています。また、仮想化の進化や働き方改革などの対応から、テレワークに対応するリモートデスクトップサービスも広がっていくことも考えられます。流出経路の多様化にも対応していく必要があるでしょう。

企業や組織のセキュリティホールとして問題視されているケースを紹介します。

Solution Brief

ニュース&キーワード

Solution Brief

継続的な防御強化と運用負担軽減を実現するための戦略マカフィーの脅威対策ライフサイクル止まらない脅威の進化への対抗、ビジネス継続の最大化、そしてセキュリティ運用負担の軽減を考慮したライフサイクルです。人手だけに頼らず、日々得られる知見や洞察をインテリジェンスとして素早く活用できるよう連携と自動化を促進します。

復 旧

検 知

防 御

分析 と 適応

ライフサイクルで得た知見と洞察をインテリジェンスとして組織内で蓄積し、素早く活用して防御を継続的に強化

ビジネスの維持・継続のために対応準備と自動化促進により

効率的な一次対応で被害を最小化

情報集約と優先度の明確化で攻撃の予兆や進行を早期に把握し素早いアクション

McAfee Cloud

Open Data Exchange Layer（OpenDXL）

● 管理　● 分析　● インテリジェンス　● セキュリティサービス

プロフェッショナルサービス

ダイナミックエンドポイント

データセンターとクラウドの保護

包括的なデータ保護

インテリジェントなセキュリティ運用エキスパートによる支援

パートナーエコシステム

200を超えるパートナー

連動ライフサイクル指向の継続的な防御強化

自動ワークフローの自動化促進による負担軽減

統合テクノロジーの根幹かつエコシステムの基盤

McAfee, McAfee のロゴは、マカフィーは米国及びその他の国におけるMcAfee LLC の商標または登録商標です。その他の商標または登録商標はそれぞれその所有者に帰属します。Copyright ©2018 McAfee LLC● 製品、サービス、サポート内容の詳細は、最寄りの代理店または弊社事業部までお問合せください。● 製品の仕様、機能は予告なく変更する場合がありますので、ご了承ください。