昨今の内部不正ITセキュリティにおける内部不正とは、企業や組織の関係者が組織内部の情報を第三者に漏えいすることや、改ざんならびに消去することを指します。故意に不正を働くケースはもちろんのこと、従業員がミスなどにより意図せず情報漏えいを発生させてしまったようなケースも内部不正の一種に分類されます。情報漏えいに関しては、“標的型のサイバー攻撃が主な原因”と考えがちですが、実際は内部不正が原因のものが全体の約88%にも上ります。出典:IPA(独立行政法人 情報処理推進機構)「企業における営業秘密管理に関する実態調査2020」報告書について東急リバブル株式会社の事案2024年8月に、東急リバブル株式会社の元社員による内部不正事案が公表されました。対象:東急リバブル株式会社時期:不明原因:元従業員による、不動産登記簿情報など社内資料の不正持ち出し被害:東京都港区所在の一部マンション所有者情報 25,406件元従業員が同業他社へ転職するにあたって、不動産登記簿に記載されている情報をまとめた社内資料を持ち出し、転職先での営業活動の一環としてダイレクトメール送信に利用していたという事案です。持ち出された情報には、 ①氏名、②住所、 ③ご所有のマンション名、部屋番号および所在地の情報が含まれていました。同社は、退職する従業員に対して、「機密保持に関する誓約書を提出させていた」と説明しています。しかし、結果的に誓約書が反故にされたという事実を鑑みれば、人の善意にだけ頼った対策では不十分だったといえるでしょう。また、個人情報保護法に則って、国土交通省(個人情報保護委員会の届出窓口)への報告、届出が行われております。個人情報保護法では企業が個人情報漏えいの”事実”・”可能性”がある場合、委員会への届出を怠った場合、刑事罰(1億円以下の罰金)が科されるケースもあります。参照:https://www.livable.co.jp/assets/files/3972IPA発表:内部不正防止の基本となる5原則内部不正防止の基本となる5原則とは、IPA(独立行政法人 情報処理推進機構)が定義する、内部不正を防止するための基本原則のことです。IPAが発表している「組織における内部不正防止ガイドライン(2022年4月 第5版発行)」内にて、内部不正防止の基本原則は以下のように定義されています。犯行を難しくする(やりにくくする): 対策を強化することで犯罪行為を難しくする捕まるリスクを高める(やると見つかる): 管理や監視を強化することで捕まるリスクを高める犯行の見返りを減らす(割に合わない): 標的を隠したり、排除したり、利益を得にくくすることで犯行を防ぐ犯行の誘因を減らす(その気にさせない): 犯罪を行う気持ちにさせないことで犯行を抑止する犯罪の弁明をさせない(言い訳させない): 犯行者による自らの行為の正当化理由を排除するこの5原則を意識し、”ITシステム”、”コンプライアンス遵守の体制構築”の両方の観点でソリューションを導入・運用することにより、内部不正のリスクを低減した職場作りが見込めます。内部不正対策ソリューションを導入する以下に具体的な内部不正対策に有効な手段を”ソリューションの例”を交えてご紹介します。まとめ従業員、特にシステム管理者は、業務を通じて日々重要情報に接しています。内部不正対策が不十分であれば、いつインシデントが起きてもおかしくありません。また、クラウド利用やテレワークが普及し、アクセス経路が複雑化する中、そのリスクはますすます増加しています。ゆえに既存の対策では不十分な可能性は大いに考えられ、“ITシステム”、“コンプライアンス対応などの社内体制”の両観点で、今こそ“対策への再検討”が必要かも知れません。スカイゲートテクノロジズでは、SWG、CASB、DLP機能を有した「Cygiene Secure Access(SASE)」とSIEM/UEBAの機能を有する『Cygiene Analytics』をワンパッケージで提供しています。最新のAIを使ったSASEとSIEM/UEBAのシームレスな連携により内部不正対策を強力にサポートします。『Cygiene』について、ぜひお問合せください。