IPA 「内部不正による情報セキュリティインシデント実態調査」報告書

IPA(情報処理推進機構)は、3月3日に「内部不正による情報セキュリティインシデント実態調査」に関する報告書を公開しました。

この報告書は、近年のセキュリティインシデントは、内部不正によるものが多く発生していることをうけ、企業の従業員と内部不正を行ったことがある者に対する意識調査結果のものです。

今回の調査では、以下が主な結果となっています。

（1）内部不正の理由の約6割は故意が認められない「うっかり」
　　 故意ではない不正のうちの多くの理由が「ルールを知っていたが、うっかり違反した」であり、故意の不正は、多忙や企業への不満によるものが多かった。
　
（2）主たる情報の持ち出し手段は"USBメモリ"
　　 USBメモリ持ち出しの対策に関しては、従業員規模が300名未満の企業の過半数で「方針やルールはない」との回答があった。

（3）経営者等が重要視していない対策が内部不正行為の抑止に有効
　　 内部不正対策として、経営者・システム管理者があまり重要視しない「罰則規定を強化する」「監視体制を強化する」が、内部不正経験者にとっては、不正行為に対する有効策の上位になった。

（4）内部不正経験者の約5割がシステム管理者（兼務を含む）
　　 システムへの権限を持つ管理者による不正行為が過半数を占めた。

全体の傾向を見ても、サーバやソフトウェアの脆弱性などの技術的な点よりも、運用や教育などの非技術的な点が、内部不正行為の原因や対策として顕著となっています。
過度なアクセス権限を管理者に付与しない適切な権限設定・従業員に対する十分なセキュリティ教育の実施・従業員間の十分なコミュニケーション等の、非技術的な点の改善により、多くのインシデントは防ぐことができます。技術的な対策も必要不可欠ではありますが、まずは、自社のセキュリティ運用や教育から、見直しを図るのも良いのではないでしょうか。

参照:
「内部不正による情報セキュリティインシデント実態調査」報告書について
https://www.ipa.go.jp/security/fy27/reports/insider/index.html
内部不正経験者の42％は「故意」 - 多忙や組織への不満が不正を誘発
http://www.security-next.com/067474