7月10日(木)にIPAより以下のお知らせがありました
組織の内部関係者の不正行為による情報漏えいを防止するため、セキュリティ対策の見直しを!
(1)内部不正を防止するための現状把握と対策の検討
IPAでは、内部不正による事故・事件の発生を防止するための環境整備に役立つよう
2013年3月に「組織における内部不正防止ガイドライン」を策定し、公開している
ガイドラインを効果的に活用するには
最初にチェックシートで対策の現状を把握し
次に、その結果を基に必要な対策項目を検討する
JMSA作成の「内部不正対策ソリューションガイド」を参考にする
(2)内部不正が発生する仕組み
不正行為は下記の3つの要素が全て揃った時に発生すると言われている
「動機・プレッシャー」
プレッシャー(業務量、ノルマ等)や処遇への不満など
「機会」
技術的環境や物理的環境及び組織のルールなど、不正行為の実行を可能にする環境
「正当化」
良心の呵責を乗り越える都合の良い解釈や他人への責任転嫁など
3つの要素の低減が内部不正を防止するために最も有効となる
組織が対処できるのは「動機・プレッシャー」と「機会」の低減である
(3)内部不正防止の対策例
・重要な情報であることを明確にし、適切なアクセス権限を付与すること
重要な情報であるか否かを明確にし、適切なアクセス制御を可能とすること
重要な情報に対するアクセス権限をもつ操作員を最小とすること
アクセス権限は定期的に見直すこと
・重要情報の持ち出し・可搬媒体等の持ち込みの監視
情報機器や記録媒体の管理を厳格にすること
可搬媒体の利用を制限し、管理者の承認と記録を取ること
・定期的な操作履歴の監視・監査
重要情報へのアクセス履歴、利用者の操作履歴等のログを記録すること
ログを定期的に監査し、異常な事象の発見に努めること
コメントを残す