内部不正はどのように防ぐ? 企業のセキュリティ対策
セキュリティ
社内の従業員や関係者によって機密情報などの重要データが持ち出されるなどして、企業に甚大なダメージを与えるケースが後を絶ちません。こうした内部不正はどのようにして防げばよいのか、内部不正の発生する構造やリスク、そして有効なセキュリティ対策について解説します。
企業の内部不正はどのように発生するのか
内部不正がなぜ起こるのか考えてみましょう。誰かが内部不正に至るときは、不正を可能とする状況や環境があり、実際に手を下してしまうというトリガーのようなものがあります。
アメリカの組織犯罪研究者であるドナルド・R・クレッシーは、そのことをもっと端的に伝えています。内部不正は「動機」と「機会」、「正当化」という3要素がそろったときに発生する、という指摘です。この3要素は「不正のトライアングル」とも呼ばれます。
動機とは不正行為の実行を促す心理的要因のことです。何らかの欲求や不満のほかに、プレッシャーも含まれます。会社への不満、金銭的問題、厳しいノルマなどが動機に結びつきやすい例です。
機会とは不正を容易に行える環境のことです。重要データを外部に持ち出せる、パスワードを知っている、監視システムが十分に機能していないなどの状況が該当します。
正当化とは不正行為を行うときにみずから背中を押すような考え方のことです。自分だけがやっているわけではない、ほかの社員より苦労をしているから報酬があってもいい、会社が悪いから自分が懲罰を与えるべきなどのロジックで正当化が行われ、実際に内部不正が実行に移されてしまいます。
内部不正による情報漏えいリスク
内部不正の多くは、機密情報などの重要データが流出あるいは悪用されることで発覚します。とくに内部関係者の「故意による情報漏えい」が起きると、情報はしばしば競合企業、あるいは悪意ある者やグループの手に渡ってしまいます。
そのため内部不正による被害は、外部からのサイバー攻撃より甚大になる傾向があります。過去にはエンジニアが業務提携先である大手電機メーカーの研究データを持ち出すという事件がありました。競合企業に研究データを奪われた電機メーカーの損害額は1,000億円超とも指摘されています。
また、内部不正は犯罪者を内部に抱えていたという側面が強調され、企業の不祥事として大きく報道されることがあります。事件として伝えられるとステークホルダーの信頼を失い、ブランドイメージの失墜をも招きます。
そのため内部不正があっても、事実が公表されないケースも少なくありません。個人情報の漏えいの場合は別ですが、技術情報の窃取・流出などは伏せられることが多いようです。こうしたことから、内部不正は一般に知られているよりも多く起きている可能性が高いと考えられます。
内部不正の犯人の目的
内部不正の目的として、前出の「動機」や「正当化」ともリンクしますが、まず挙げられるのは会社に対する不満に根ざした「報復」です。中でも目立つのは、本人が不当と感じる解雇通知を受けたことが引き金となるケースです。在職中から不満を溜めていて、さらに退職に追い込まれた従業員が、職場を去る前に情報を持ち出す、またはデータやシステムを破壊するなどの行為に及ぶような例が典型的です。本人は嫌がらせや腹いせ程度のつもりでやっていたとしても、結果的に会社に大きなダメージを与えれば大きな問題となります。
「金銭」を目的とした内部不正も多く見られます。給与に不満がある、人事評価を不当と感じているような従業員が、重要データを持ち出して競合会社に売り渡すといったケースが該当します。会社に対する不満はなくても、本人がギャンブルなどに依存してしていて金銭的問題を抱えていることもあります。
ほかには前出の「機会」があり、それが「動機」につながることもあります。データを簡単に持ち出せる、社内ルールや罰則が徹底されていない、もともと社内でルール違反が頻繁に行われているという環境に身を置いていることで内部不正に手を染めてしまうケースです。この場合、目的は必ずしも明確ではなく「できるからやってしまう」ことが多くなります。
さらに、故意の内部不正ではなく、無知や不注意による情報漏えいも多発しています。目的や意思がなくても重要データが漏えいして会社にダメージを与えれば、これも内部不正に該当します。
内部不正への効果的なセキュリティ対策
内部不正を防ぐにはシステム対策だけではなく、内部不正が発生しづらい環境を作り上げることが重要です。具体的には次のような対策が考えられます。
コンプライアンス意識を高める
まず企業文化として不正を許さない、法令を遵守するというメッセージを常に発信し、従業員に周知する必要があります。セキュリティ教育や研修を実施し、コンプライアンス意識を高めていきましょう。
犯行を困難にする
入退室管理、PCや外部記憶装置の持ち出し制限、システムのアクセス管理を徹底することで、犯行を困難な環境を構築できます。とくに重要データの扱いに関しては、ダブルチェック体制を設けて管理するなどの工夫が求められます。
発覚しやすくする
システムやサーバーのアクセスログ監視は必須です。またメール送受信、SNSやWebサイトへの投稿、クラウドサービス利用などに関しても使用状況が分かる仕組みを整えましょう。
社内ルールの設定と厳罰化
内部不正につながる行為を禁じる社内ルール、罰則の設定もマストです。重大な不正が発覚した際はただちに警察へ届けるなどの対応マニュアルも整備しましょう。ただし、ルールはそれを必ず守るという強い意識づけがなくては徐々に形骸化していきます。社員教育や研修を通じて培っていく必要があります。
従業員満足度を上げる
会社への不満の蓄積をいかに排除するかというのは、最も普遍的で大きな課題かもしれません。従業員満足度調査やヒアリングによる状況把握、従業員同士の交流を通じた相互理解の促進、企業風土の改善と熟成に取り組んでいきましょう。
内部不正による情報漏えいのリスクは非常に大きく、これを防ぐにはさまざまな角度からの対策が必要です。不満の原因を取り除くことから、データやシステム管理の徹底まで、内部不正発生を最小化するためのセキュリティ対策を行っていきましょう。
AppGuardで感染対策を!