【CSIJコラム19(2024,4,10)】
「トライアングルから考える内部不正」
エムオーテックス株式会社
サイバーセキュリティ本部 xSIRTサービス課
刀川 郁也
新たなシーズンが始まり、皆様も昨シーズンの振り返りをされているかと思います。筆者もこの1年のセキュリティ事故を振り返っていました。個人的に印象に残ったのは「内部不正による情報漏えい」で、ニュースをよく見かけた気がします。また、セキュリティ業界では情報処理推進機構(IPA)から社会的に影響が大きかったと考えられる情報セキュリティ事案(情報セキュリティ10大脅威 2024)が公開されております。10大脅威においても「内部不正による情報漏えい」が昨年より1つランクを上げて3位となっていますから、多くの方が関心を持っていることでしょう。
さて、不正を考える際によく使われるのが「不正のトライアングル」と呼ばれる組織内の不正行為のメカニズムを説明する概念です。これは「動機」「機会」「正当化」の3つの要素から成り、これらを満たすと不正が発生するリスクが高まるというものです。逆に、3要素のうちの1つでも抑えることができればリスクを低減させることができるでしょう。ただ、「動機」や「正当化」は内面的な部分で個人差があり制御しにくいため、企業やセキュリティベンダーが対策すべきは「機会」の対策に集約されるのではないかと思うのです。
例えば、2023年に起きた事例を見てみると、ある派遣社員がサーバから顧客情報を不正にダウンロードし、USBでデータを持ち出すことで名簿業者に情報を売り渡し、逮捕されたという事案がありました。取り調べによると借金返済などに追われ金銭的に逼迫していたことが動機とされています。
本件における「動機」はお金がなかったから、となりますが、プライベートな事情が含まれる場合もあり、企業での対処が困難です。「正当化」についても、当人の中では正当化となる要素があったのかもしれませんが他人からは読み取りづらく、上述の通り個人差があるため制御が困難だと思います。となると、「機会」について考えることになるのですが、本事例では2つの「機会」があると考えます。
1つは「不正」に入手した名簿を名簿業者に売ることができたという機会です。個人情報保護法によると名簿等個人データを取り扱う事業者には、提供を受ける際の確認等の義務(法第 26 条)があり、「情報が不正に入手されていないことを確認する必要がある」とされています。一方で不正に入手していないことをデジタルデータそのものからは確認することは出来ないのが現実です。最近ではデジタル著作権管理やNFTなど著作物を保護する技術が発達してきています。こうした技術を活用すれば、不正に入手された個人情報を取り引きできない世の中が将来的には実現されるかもしれませんが、現状はまだここに期待することはできません。
となると、もう1つの「USBで情報を持ち出すことができた」という機会をなくすことが現実的な対応となります。
今回の事例だと、業務PCからUSBにデータが書き込みできないように制御されていれば、事件を未然に防げた可能性が高いです。また、USB等の持ち込みを制限することやログ監視なども機会を減らす対策になるでしょう。
IPAからも「組織における内部不正防止ガイドライン」が公開されており、チェックリスト形式で対策を確認することが可能です。この機会に是非チェックされてみてはいかがでしょうか。
参考:組織における内部不正防止ガイドライン(IPA)
https://www.ipa.go.jp/security/guide/insider.html
新たなシーズンを迎え、今期の目標を立てるこの時期に皆様が内部不正対策を考えるきっかけとしていただければ幸いです。