組織の内部不正に関する考察、IPAが報告書を公開 - ITmedia エンタープライズ(情報元のブックマーク数)
組織内部の不正に関する考察をIPAが報告書として出しています。
情報処理推進機構(IPA)は3月15日、国内外で実施されている内部不正防止に関する取り組み状況などを取りまとめた技術報告書「IPA テクニカルウォッチ 第6回」を公開した。
組織の内部者による不正行為では情報の取り扱い権限が簡単に取得されてしまうことから、技術的な対策に限界があるという。報告書の調査では国内外の企業やセキュリティ機関などに聞き取りを行い、内部者が不正行為を働く動機や背景などの特徴、また、その対策方法をまとめた。
例えば、米国はCERTプログラムで2001年から内部者の脅威について研究を始め、「Insider Threat Center」を設置。700事例の分析から、組織的、人事的、技術的に内部不正を防止するための方策を提示しているという。国内では取り組み事例が少ないものの、聞き取り調査から、職員が置かれている環境や組織に対する個人の意識などが、不正行為の発生に影響を与える可能性が推測されるという。
組織の内部不正に関する考察、IPAが報告書を公開 - ITmedia エンタープライズ
以下抜粋というか引用、わかりやすい。
ITC では、内部犯行の定義と 3 つの類型を示している。内部犯行の定義は、以下の 3 条件を満たす犯罪としている。
? 現在もしくは過去の社員、その他の被雇用者もしくはビジネスパートナーで、
? 組織の IT システム(ネットワーク、システム、データ)への正規に認められたアクセス権を持っている、もしくは持っていた者が
? 意図的にそのアクセス権を用い、組織の情報の機密性、完全性、可用性に対して負の影響をもたらした者http://www.ipa.go.jp/about/technicalwatch/pdf/120315report.pdfまた、これらで定義した内部犯行は、以下の 3 つの類型に分類できることが示されている。
? システム悪用(Insider Fraud) - 組織の財やサービスをごまかし(deception)やぺてん(trickery)で手に入れる
? 破壊 (Insider IT Sabotage) - 特定個人、組織(含む組織のデータ、システム、日常業務)に損失を与えるという意志に基づいた悪意ある行動
? 情報の持ち出し(Insider Theft of Intellectual Property) - 機密や知財に関連する情報などを組織から盗み出す
以下に、3つの分類の特徴を示す。
http://www.ipa.go.jp/about/technicalwatch/pdf/120315report.pdf
? システム悪用(Insider Fraud)
· しばしば内部者の金銭的問題が関係する。
· 1/3 のケースで、外部の手引き者が存在した。情報改ざんについては、同僚がおぜん立てすることが多い。
· 内部脅威者のストレスを引き起こすものが観察される。(例えば借金、家族問題等)
? 破壊(Insider IT Sabotage)
· 内部脅威者は、情報窃取のリスクに関連する個人的な傾向(personal predispositions)をもつ。たとえば、期待に反した待遇(報酬、昇進、オンライン活動への自由、倫理感、プロジェクト期限等他)についての不満を持っている。
· 組織を辞めた後に侵入可能なように、アクセス経路を作っていることが多い。
· 前兆があるが、ほとんどの場合、組織は技術的な前兆を見落としている。
· 管理者は、前兆を見逃がさないようにモニタリングをすべきで、そのようにポリシーを策定すべきである。
· 信頼(Trust)は、リスクを軽減する。
? 情報の持ち出し(Insider Theft of Intellectual Property)
· IP を金銭目的で売ろうとするものは少なく、むしろ、転職や起業などの際の自己のビジネスの優位のため、また、外国政府などへ持ち出す。
· IP を盗む者は、たいてい、科学者、エンジニア、プログラマーやセールスパーソンである。盗む対象は、通常の業務で扱っている情報が多いので、これを防ぐのは困難である。
· 転職、処遇などの組織への不満、肩書などはすべで情報を盗む意思決定に影響する。
· 情報は、さまざまな手法を使い、退職から 1 か月以内に盗まれている。
· 退職の 1 か月前と 1 か月後の合わせて 2 か月のモニターが必要である。この間の外部とのやり取りをすべてログしておくべきである。
