セミナーレポート

南紀白浜で問う

「機能しているのか? サイバー攻撃対策」

第3回マイナンバー編

2015/6/16  1/2

 「サイバー犯罪に関する白浜シンポジウム」の記事第3回は、2015年10月の施行を控えるマイナンバー法に関して。同法改正や個人情報保護法改正について弁護士・岡村久道氏の講演を取材。前回からのテーマ・内部不正に関するデロイトトーマツリスクサービス・白濱直哉氏の講演と合わせて紹介する。

内部不正の分類


 デロイトトーマツリスクサービスの白濱直哉氏は「事例から関会えるIT・内部不正の現状と対応」という題で講演を行った。白濱氏は不正のなかでも情報など「資産に関する不正」について触れた。

デロイトトーマツリスクサービス白濱直哉氏
デロイトトーマツリスクサービス白濱直哉氏

 「多くの方が、内部不正は自分の会社にはあまり関係ないと思っているのでは」と白濱氏。内部不正は表に出るのは氷山の一角で、どの組織でも十分起こり得る話だという見解を示した。


 白濱氏によると、不正行為者には「悪意によるものと善意によるもの」があるという。さらに悪意によるものは受動的のものと、能動的のものの2種類があるという。白濱氏はIT内部不正について「組織内の情報システムにアクセスが可能な人が契約期間中に、情報や情報システム資産に対して故意に、法令・コンプライアンス違反を行うこと」と定義付けている。


 白濱氏は、まず善意の不正行為者の事例について取り上げた。ここで挙げたのはシステム開発を請け負う会社の社員が、自宅で作業するため、クライアントの重要情報を自宅に送信し、送信した情報が漏洩したという事例だ。


 この事例のように「情報へのアクセスやメール送信が可能であり、監視も行われていない」場合に対しては、適切な内部統制の構築が求められる。またリスク分析を行い、どこにどのようなリスクがあるのか、顕在化させることが有効だ。この事例では「自宅で仕事がしたかった。高い評価がもらいたかった」と犯行者が感じたことが動機だったという。この点に対しては情報取扱ルールや契約、コンプライアンスの再確認・教育を行わなければならない。同様に倫理教育を行うべきだとしている。


 次に受動的な不正行為者の事例の場合について。ここで白濱氏は人事部給与担当者が、毎月集計される残業時間が記録されている「残業データファイル」を書き換え、残業手当を横領したという事件を例に挙げている。企業側には業務手続やシステム権限管理の不備があったという。事件が発覚したのは、給与計算をしている人の直観があったとのこと。白濱氏はここでも、情報取扱ルールや契約、コンプライアンスの再確認・教育、倫理教育が有効だとしている。


内部不正を防ぐために


 白濱氏が最後に挙げたのは能動的な不正行為者の事例。ここでは従業員が退職後に会社のシステムが動かなくなるよう細工をするというケースを挙げている。この従業員は、長年システム管理者を兼務していたものの、会社でいやなことがあり、退職を決意した。その際、自身が退職後にシステムに障害が起きるようにタイマーを仕込んで退職したという。


 この件は、会社にITがわかる人がいないために、この従業員自身に権限が集中した結果発生した事例だ。そのため、「個人に権限を集中させない」「バックアップ体制を構築する」といった対策が必要となる。さらに「憂さ晴らし」という動機についても、透明性のある人事評価やコンプライアンス教育が不可欠だ。


 このように内部統制の構築が必要となるわけだが、まずは「守るべき情報資産を明確にし、周辺のリスクを洗い出すことが先決」と白濱氏。情報のライフサイクルを分析し、どこにどのようなリスクがあるか洗い出して対応する――さらにシステムを把握し、厳格な権限管理の実施が有効となるという。


 白濱氏は、業務アプリケーションのログや電子メールも含めた対策を行うことで、業務上の不正を発見することも重要視している。加えて内部不正対策状況のチェックリストの作成を推挙。例えば項目に「重要情報の定義及びアクセス権限者が明確化され、管理に関するルールがあるか」などのチェック項目を設ける。それによって既存の安全措置に対して、実証的な検証を含めた再確認ができるというわけだ。

>>そして話題はマイナンバーへ

【関連カテゴリ】

情報セキュリティ