読み方 : ないぶふせい

内部不正

内部不正とは?

組織の従業員や役員、元従業員、業務委託先など、何らかの関係者が、その立場やアクセス権を悪用して組織に損害を与える行為。機密情報や個人情報の持ち出しや漏洩、データ改竄や損壊、システムの破壊、金銭の横領、不正申請などが該当する。
内部不正のイメージ画像

外部からのサイバー攻撃と大きく異なるのは、正規のアカウントや設備を用いて行われる点である。不審な通信や不正アクセスとして検知されにくく、業務知識や組織内の運用を熟知しているため、監視の隙を突いた行為が可能になる。信頼関係を前提とした職場環境では疑いの目が向けられにくく、不正が長期間見過ごされることも少なくない。

不正に至る動機は様々で、金銭的な困窮、人事評価への不満、転職先での優位性確保、退職前の報復行為などの例がある。外部の第三者に唆されて情報を提供するケースもある。管理体制の不備も発生を招く要因であり、アクセス権限が広すぎる環境や操作記録を確認していない環境では、不正行為が見逃されやすくなる。

対策として、アクセス権限を業務の執行上必要な最小限に限定する「最小権限の原則」の徹底、操作ログの記録と定期的な監査、重要情報の暗号化USBメモリなど持ち込み・持ち出しが容易な記憶媒体の利用制限、退職者アカウントの即時停止などが行われる。また、一人の人物が取引の承認から実行まで完結できないようにする職務の分離も有効とされる。内部通報制度の整備や、従業員に対するコンプライアンス教育といった組織的な取組みも合わせて実施されることが多い。

近年では、クラウドサービスリモートワークの普及により、社内ネットワークの外から業務システムへ接続したりデータを取得する機会が増加している。社内設備のみを前提とした管理では十分でなくなり、利用者単位での認証強化や操作監視の重要性が高まっている。正規の利用権限は強力なだけに、社会的な影響の大きい情報漏洩や事業停止などの事案に直結する場合があり、企業の信用低下や損害賠償問題へ発展することもある。

この記事の著者 : (株)インセプト IT用語辞典 e-Words 編集部
1997年8月より「IT用語辞典 e-Words」を執筆・編集しています。累計公開記事数は1万ページ以上、累計サイト訪問者数は1億人以上です。学術論文や官公庁の資料などへも多数の記事が引用・参照されています。