内部不正とは?なぜ起こる?10年連続の脅威である情報漏えいを防ぐための対策
投稿者:セキュリティ&ネットワーク事業本部 セキュリティ担当 久保田
こんにちは。セキュリティ担当の久保田です。
昨今セキュリティインシデントである、内部不正による情報漏えいを耳にする機会が増えています。
今回は内部不正について、現状、対策を解説し、するべきことをご紹介させていただきます。
目次
1.内部不正とは
2.内部不正の現状
3.内部不正が起こる原因
4.内部不正対策のポイント
5.おわりに
1.内部不正とは
現在様々なセキュリティインシデントが発生し、顧客情報の流出などでニュースで目にする機会が多いと思います。
まず、そもそも内部不正とは何かについてご説明いたします。
内部不正とは、組織に属している人、属していた人が、組織内部の情報を故意、過失にかかわらず、持ち出し、流出、消去・破壊することです。
本ブログでは、特に、組織に属している人が内部情報を外部に流出されることに焦点をあて解説いたします。
2.内部不正の現状
こちらはIPAが作成した情報セキュリティ10大脅威2025 [組織]となります。
内部不正による情報漏えい等は10年連続10回目で4位となっています。
10年連続10回目ということで、長らく脅威として存在しており、その対策が難しいことがわかります。
ほかには10年連続で10回目の脅威は「ランサム攻撃による被害」、「機密情報等を狙った標的型攻撃」があります。
情報セキュリティ10大脅威2025 [組織]
出典元:
情報セキュリティ10大脅威 2025:IPA
https://www.ipa.go.jp/security/10threats/10threats2025.html
こちらは経営層が内部不正リスクを優先度の高い経営課題として捉えている割合です。
約4割の企業が内部不正を事業リスクとして認識していますが、22.9%、11.8%の企業は重要視していません。さらに8%の企業は事業リスクとして認識が低く、課題としてほとんど意識されていません。
内部不正が長らく脅威として存在しているにもかかわらずリスクとして捉えられていないという現状があります。
経営層が内部不正リスクを優先度の高い経営課題として捉えている割合
出典:
「企業の内部不正防止体制に関する実態調査」報告書:IPA
図3.貴社では、内部不正リスクは重要な経営課題として捉えられていますか。(Q30)
https://www.ipa.go.jp/security/reports/economics/ts-kanri/20230406.html
3.内部不正が起こる原因
なぜ内部不正が起こってしまうのかの参考になるのが、「不正のトライアングル」です。
出典:
IPA NEWS Vol.64(2023年12月号):IPA
https://www.ipa.go.jp/about/ipanews/ipanews202312.html
不正のトライアングルは、アメリカの犯罪学者であるドナルド・R・クレッシーが提唱した理論です。
・動機
不正行為を行うきっかけとなる内的な原因です。
例えば、社員と個人的な金銭問題があげられます。
・機会
不正行為を行うための、状況が整っていることです。
例えば、内部の情報にアクセス、持ち出しができてしまうことがあげられます。
・正当化
不正行為を行った人が正当化することができる理由です。
例えば、不正行為を自分に都合よく解釈し、責任転嫁をして正当化することがあげられます。
4.内部不正対策のポイント
IPAの「組織における内部不正防止ガイドライン」にて、
5つの基本原則が記載されています。
内部不正防止の基本原則
・犯行を難しくする(やりにくくする): 対策を強化することで犯罪行為を難しくする
・捕まるリスクを高める(やると見つかる): 管理や監視を強化することで捕まるリスクを高める
・犯行の見返りを減らす(割に合わない): 標的を隠したり、排除したり、利益を得にくくすることで犯行を防ぐ
・犯行の誘因を減らす(その気にさせない): 犯罪を行う気持ちにさせないことで犯行を抑止する
・犯罪の弁明をさせない(言い訳させない): 犯行者による自らの行為の正当化理由を排除する
出典:
組織における内部不正防止ガイドライン:IPA
2-1.内部不正防止の基本原則
https://www.ipa.go.jp/security/guide/hjuojm00000055l0-att/ps6vr7000000jvcb.pdf
この基本原則に乗っ取り対策をしていくと内部不正が起こりにくくなる可能性があります。
内部不正防止の基本原則の犯行を難しくする(やりにくくする)、捕まるリスクを高める(やると見つかる)、犯行の誘因を減らす(その気にさせない)、犯罪の弁明をさせない(言い訳させない)はITで対策が可能です。
犯行を難しくする(やりにくくする)対策としては、アクセス権の管理があります。
機密情報にアクセスする必要のあるユーザに対して、必要な権限を付与し、管理を行う必要があります。特権ID管理ソリューションとして、iDoperationで対策することが可能です。
捕まるリスクを高める(やると見つかる)対策としては、ログの記録があります。
アクセスログを記録することで、万が一内部不正が起こった際に誰が情報にアクセスし、持ち出す行為を行ったかを特定することができます。アクセス権限のあるユーザに対するDB監査として、Guardiumでの対策も可能です。
また、記録していることを組織内の人間に周知することで、心理的にも不正を行えないようにすることができる可能性もあります。こちらは犯行の誘因を減らす(その気にさせない)の対策にも通じます。
犯罪の弁明をさせない(言い訳させない)対策としては、不正行為を行う際に該当行為が不正行為にあたるが間違いないかと確認されることが必要です。これにより言い逃れができなくなります。こちらは、Proofpoint ITMにより、不正操作を行ったユーザに対して警告を表示することで対策ができます。
5.おわりに
内部不正は長らく組織のセキュリティの脅威として存在していますが、今なおリスクとしての認識が遅れている傾向にあります。ソリューションを導入することで完璧に解決できる問題でもないため、非常に難しいことが現状です。内部不正対策についてわからないことがある際はぜひご連絡いただければと思います。
