2024.10.30

中小企業におけるセキュリティ脅威への対策強化〜内部不正による情報漏えい等の被害から対策を学ぶ〜

独立行政法人情報処理推進機構（IPA）が毎年発行している「情報セキュリティ10大脅威2024」から、中小企業の経営者やシステム担当者が注目すべき点を掘り下げていきます。

今回は３位に挙げられている「内部不正による情報漏えい等の被害」を深掘りします。

従業員や元従業員等の組織関係者による機密情報の持ち出しや、社内情報の削除等の不正行為が発生しています。

また、組織内の情報管理の規則を守らずに情報を持ち出し、紛失や情報漏えいにつながるケースもあります。

組織関係者による不正行為は、組織の社会的信用の失墜や、損害賠償や業務停滞等による経済的損失を招きます。

また、不正に取得された情報を使用した組織や個人も責任を問われる場合があります。この脅威がどのように業務に影響を与えるのか、対策はどうすべきなのかを解説します。

１．内部不正による情報漏えい等の被害による脅威

悪意を持った組織関係者が、金銭受領、転職先での悪用、組織への私怨等を動機として、組織が保有する技術情報や顧客情報等の重要情報の持ち出しや第三者への提供、不特定多数が閲覧できる場所への公開、情報の削除や改ざん等の不正行為を行うことがあります。

また、自宅等の社外で作業するために組織の情報管理の規則を守らず情報を外部へ持ち出し、情報漏えいするケースもあります。

不正に取り扱われた情報の重要性や被害規模によっては、組織の社会的信用の失墜や、顧客等への損害賠償、損失補填、復旧作業等による経済的損失が発生し、組織の競争力の大幅な低下につながります。

その結果、組織経営の根幹を揺るがすおそれがあります。

また、自組織に持ち込まれた情報が不正に取得されたものであることを知りつつ使用した場合、刑事罰の対象になることもあります。

２．主な攻撃手口

以下に代表的な内部不正による情報漏えい手口を紹介します。

（１）アクセス権限の悪用

付与された権限を悪用し、組織の重要情報を窃取したり不正に操作を行うケースです。

必要以上に高いアクセス権限が付与されている場合、より重要度の高い情報が狙われ、被害が大きくなるおそれがあります。

また、複数人で端末を共用している場合、他人のアカウントで不正アクセスされるリスクも生じます。

（２）在職中に割り当てられたアカウントの悪用（離職後のアカウント利用）

離職者が在職中に使用していたアカウントが削除されていない場合、それを使用して組織の情報に不正にアクセスを続ける事が出来てしまいます。

これにより重要情報を容易に持ち出す事が可能となります。

（３）内部情報の不正な持ち出し（物理的な持ち出し）

組織の情報を、USBメモリーやHDD等の外部記憶媒体、メール、クラウドストレージ、スマホカメラ、紙媒体等を利用し、外部に不正に持ち出すケース。こうした行為は予防措置の欠如によって、発見が遅れる事が多々あります。

３．内部不正による情報漏えいの具体的な事例

【事例１：顧客情報を持ち出し、名簿業者に販売】
2023年10月、NTTビジネスソリューションズは、同社に勤務していた元派遣社員が顧客情報の不正な持ち出しを行っていたことを公表しました。
同派遣社員は2013年7月から2023年1月の間に、自身が運用に関わっていたコールセンターのシステムに、管理者アカウントを悪用して不正アクセスし、少なくとも69組織の顧客情報928万件をUSBメモリーにコピーして持ち出していました。
持ち出した顧客情報を名簿業者に販売し、1,000万円以上を対価として受け取っていたとみられ、逮捕されました。
引用元：IPA　情報セキュリティ10大脅威 2024 解説書より抜粋

この事例は、「２．主な攻撃手口」の「（１）アクセス権限の悪用」と「（３）内部情報の不正な持ち出し」の具体的な内容になります。

運用保守用に割り当てられた管理者アカウントを用いて、内部情報を不正に持ち出していたものです。

また、内部不正者に対するセキュリティ要件が十分ではなかったことも併せて原因と言えます。

【事例２：前職場が保有する名刺情報を転職先に提供】
2023年9月、ワールドコーポレーションの元従業員が、個人情報保護法違反（不正提供）等の疑いで警視庁に逮捕されました。
本従業員は同業他社に転職する直前に、転職元の名刺情報管理システムにログインするためのIDとパスワードを転職先の従業員に共有していました。
不正に取得された名刺情報は転職先の営業活動に使用され、成約事例もあったようです。
引用元：IPA　情報セキュリティ10大脅威 2024 解説書より抜粋

この事例は、「２．主な攻撃手口」の「（２）在職中に割り当てられたアカウントの悪用」の具体的な内容です。

事例では在職中から漏えいしていたようですが、少なくとも離職者発生時に該当するIDを無効にしておけば被害の拡大は防げたと考えます。

４．内部不正による情報漏えい等への対策

本対策は主に「システム管理者の観点」で説明していきます。

システム管理者の対応と対処

◇被害の予防

・基本方針の策定

「不正のトライアングル」を意識して基本方針を策定し、情報取扱ポリシーの作成、内部不正者に対する懲戒処分等を規定した就業規則等や、委託先との契約内容を整備します *1。

なお、組織内での対策推進は、経営層の積極的な関与が不可欠です。

内部不正対策の責任は経営者にあり、最高責任者である経営者が総括責任者の任命並びに管理体制および実施策の承認を行い、組織横断的な管理体制を構築する必要がある為です。

*1内部不正を想定した従業員規約等は下記の経産省発行の秘密情報の保護ハンドブックのP175ページ以降の「参考資料２各種契約書等の参考例」、また、情報管理も企業力を合わせてご参照ください。

・資産の把握、対応体制の整備

情報資産を把握し、その重要度をランク付けした上で重要情報の管理者を定めます。

・重要情報の管理、保護

重要情報の利用者IDおよびアクセス権の登録・変更・削除に関する手順を定めて運用します。

従業員の異動や離職に伴う不要な利用者ID等は直ちに削除します。

また、それらの適切な管理、定期的な監査を実施します。さらに、利用者IDの共用禁止等の処置を検討します。DLP（情報漏えい対策）等のツールの導入も併せて検討します。

・物理的管理の実施

重要情報の格納場所や重要情報を扱う執務室への入退室を管理します。

USBメモリー、スマートフォン、プリンター等の外部媒体は利用制限を行い、持ち出しや持ち込みの管理をします。

また、記録媒体の廃棄を行う際には、適切なデータ消去の運用 *2を実施します。

消去できない場合は媒体の物理的な破壊も検討する必要があります。

また、リース品はデータ消去/初期化してから返却します。

*2適切なデータ消去：

Windows10/11の場合、「完全に削除する」又は「ゴミ箱を空にする」を実行したり、クリックフォーマットをしたりしても、ハードディスクやUSBメモリー上にはデータが残っており、復元ツール等を利用すると復元できてしまいます。

ハードディスクやUSBメモリーの完全なデータ消去は、時間がかかりますがフルフォーマット(Windowsの場合にはクイックフォーマットのチェックを外して実行)で可能です。

・情報リテラシー、モラルを向上させる※

・人的管理およびコンプライアンス教育の徹底

従業員には秘密保持義務を課す誓約書に署名させ、定期的に教育を実施します。

被害の予防に対する対策の状況は、IPA発行の組織における内部不正防止ガイドラインの102ページ「付録Ⅱ：内部不正簡易チェックシート」を使ってチェックする事ができます。

◇被害の早期発見

・システム操作履歴の監視

重要情報へのアクセス履歴や利用者の操作履歴等のログ、証跡を記録し、監視する事で早期検知に努めます。また、監視していることを従業員に周知することで不正の予防が可能です。

◇被害を受けた後の対応

・適切な報告／連絡／相談を行う※

・インシデント対応体制を整備し対応する※

・内部不正者に対する適切な処罰の実施

「※」の詳細については、IPAの「情報セキュリティ１０大脅威2024」の68ページの「共通対策」をご参照ください。