外部からのサイバー攻撃に対して、適切なセキュリティ体制を構築している企業は多いと思います。
ただ、より情報セキュリティ体制をレベルアップさせるためには、内部不正への対策も万全な状態にしなければいけません。
今回は、企業の内部不正を防止するための5つの対策について解説します。
内部不正を防止する5つの対策とは?
企業の内部不正対策は、主に以下の5つに分類されます。
・不正を困難にする
・不正が発覚するリスクを高める
・不正による見返りを減らす
・不正を行う気にさせない
・不正に対する言い訳をさせない
それぞれ詳しく見ていきましょう。
不正を困難にする
企業の内部不正を防ぐにあたって、従業員による不正を困難にすることはとても重要です。
これは、以下のような方法で情報セキュリティ体制を強化し、たとえ従業員といえども、簡単に情報資産にアクセスしたり、それを持ち出したりできないような環境を作ることを指します。
・アクセス制御
・パスワードの設定
・退職者のID削除
・セキュリティワイヤーによるパソコンの固定
・事業所への出入り制限
・デバイスの持ち出し検査
・未許可のデバイスの持ち込み制限
・SNSの利用制限
・ホテルおよび公衆の無線LANの利用制限 など
不正が発覚するリスクを高める
企業が内部不正を防ぐには、従業員に「やると見つかる」と思わせることも重要です。
つまり、以下のような方法で、不正が発覚するリスクを高めるということです。
・アクセス履歴の監視
・複数人での業務(単独業務の制限)
・情報機器の棚卸し
・モバイル機器の持ち出し管理
・入退室記録の監査
・通報制度の整備
・共有アカウントの廃止
・台帳による持ち出し管理
・監視カメラの設置
・機械警備システムの導入 など
不正による見返りを減らす
企業の内部不正を防ぐためには、不正による見返りを減らすことも大切です。
つまり、「やっても割に合わない」と思わせる環境を作ることです。
具体的には、以下のような対策を実施しましょう。
・情報資産を隠す(アクセス権限の設定、デバイスの施錠保管、のぞき見防止フィルムの貼付など)
・情報資産を排除する(データの完全消去、不要になったデバイスの物理的破壊、関係者に開示した情報の廃棄・消去など)
・情報機器および記録媒体の資産管理
・利益を得にくくする(ファイル、ハードディスク、通信の暗号化)
・警察への素早い届け出 など
不正を行う気にさせない
内部不正により、情報資産等を窃取したり、企業に損害を与えたりする行為は、れっきとした犯罪です。
また、企業はこのような犯罪行為を防ぐために、従業員が不正を行う気にならない環境を作りましょう。
具体的には、以下のような対策を実施します。
・公平性の高い人事評価
・適正な労働環境の整備
・円滑なコミュニケーションの推進
・インシデントの原因公表を慎重に行う(特定の従業員の氏名は出さない) など
不正に対する言い訳をさせない
企業の内部不正を防止するためには、不正に対する言い訳をさせないことも重要です。
どんな理由であれ、不正が発覚した時点で言い逃れできないように、企業は以下のような対策を取りましょう。
・基本方針の策定
・管理、運用策の策定
・就業規則の策定
・基本方針等の組織外への掲示
・教育によるルールの周知徹底
・管理レベルの表示
・誓約書へのサイン
・私物デバイス持ち込み禁止のポスターの掲示
・遵守事項や関連法などに関する教育
・重要事項所持時の飲酒制限
・未承認アプリケーションの使用制限 など
企業の内部不正に関わる人物を把握しておこう
企業は上記の内部不正対策を取ると同時に、内部不正に関わる人物を把握しておきましょう。
具体的には、以下のような人物です。
・特権ユーザー
企業の情報システムにおいて、一般ユーザーが持っていない特別な権限を付与されたアカウントなどを用い、業務を行う人物を指します。
企業においてもっとも信頼できる人物であると同時に、もっとも内部不正を行いやすい位置にいる人物だと認識しておきましょう。
・派遣社員、コンサルタント
その企業の正社員ではないため、これらの人物の中には、初めから情報資産をターゲットにしている者がいる可能性もあります。
・一般従業員
これといって特別な権限を持たない、一般の従業員です。
特別な権限を持たないとはいえ、高度な情報セキュリティの知識を持ち合わせている場合は、内部不正に関与する場合があります。
・取引先、仕入れ先
業務上、企業の重要な情報を知る可能性がある取引先や仕入れ先も、内部不正に関与する可能性があります。
その他でいうと、社外サービスプロバイダーなども、内部不正に関わる可能性があります。
まとめ
ここまで、企業の内部不正を防止する5つの対策を中心に解説してきましたが、いかがでしたでしょうか?
内部不正が発生すると、企業は経済的なダメージを負ったり、信頼性を下げたりしてしまいます。
そして、経営陣は「近しい人物に裏切られた」という精神的なダメージも負ってしまいます。
よって、早い段階で前述したような対策は実践することをおすすめします。
