IPAの今月の呼びかけ(3月) - 組織内部の不正行為とその対策

IPAは、コンピュータウィルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、組織内部の不正行為とその対策について紹介している。

○内部不正とはどのようなものか

2014年になり、従業員や委託先社員などの組織の内部情報にアクセスできる関係者(以後、内部者)による情報窃取などの内部不正行為が発生している。まず、内部不正であるが、どうして発生するのか? そこから見ていこう。A社はオンラインショップサービスの提供者で、B社はA社の決済処理業務の受注社(委託先)となっている。

このような環境では、以下の内部不正を起こす可能性が考えられる。

・権限が分散されていない

B社のシステム管理者の1人に多くの権限が集中する、結果、他の社員などの監視をくぐり顧客のクレジットカード情報などの重要情報にアクセスし、不正利用する。また、このような操作を行った履歴すらも削除する。

・システム管理者の監視ができていない

システム管理者のアクセスや操作の履歴などのログは存在していた。しかし、ログを監視する立場の社員がいなかった。結果、不正行為の前兆となる行為を検知することができず、発見が遅れ、被害が拡大する。