...

1.2MB - NPO日本ネットワークセキュリティ協会

by user

on
Category: Documents
5

views

Report

Comments

Transcript

1.2MB - NPO日本ネットワークセキュリティ協会
組織で働く⼈間による不正・事故は⽌められるか?
〜「内部不正対策14の論点」発売記念セミナー〜
組織・職場における内部不正防⽌
のための環境整備
⽇本電気株式会社
クラウドシステム研究所
島 成佳
はじめに(1)
内部不正対策の難しいところは?
どれだけ対策を施そうとも、
権限を持つ内部者は不正を⾏おうと思えばできてしまう
2
© NEC Corporation 2015
NEC Group Internal Use Only
はじめに(2)
なぜ、組織や職場での環境整備が必要なのか?
組織や職場の環境によって
⼈は変わってしまう
3
© NEC Corporation 2015
NEC Group Internal Use Only
⼈を変えるのは?(不正のトライアングル)
• 内部不正は 「動機・プレッシャー」「機会」「正当化」の
3要因が揃った時に発⽣する
動機・
プレッシャー
不正行為に至るきっか
け、原因。処遇への不
満やプレッシャー(業務
量、ノルマ等)など。
・人事に不満がある
・金銭問題を抱えている
・高いノルマを設定された
機会
×
不正行為の実行を可
能、または容易にする ×
環境。
IT技術や物理的な環境
及び組織のルールなど。
・システム管理者権限
・持ち出し可能な環境
・同じ業務を長期間担当
※ ドナルド・R・クレッシー(米国の組織犯罪研究者)による
4
© NEC Corporation 2015
NEC Group Internal Use Only
正当化
自分勝手な理由づけ、
倫理観の欠如。都合の
良い解釈や他人への
責任転嫁など。
・正当に評価がされない
・サービス残業を強いられ
ている
内部不正防⽌の基本5原則
状況的犯罪予防※の考え⽅を内部不正防⽌に応⽤した5原則
1. 犯⾏を難しくする(やりにくくする)
対策を強化することで犯罪⾏為を難しくする
「機会」の低減
2. 捕まるリスクを⾼める(やると⾒つかる)
管理や監視を強化することで捕まるリスクを⾼める
3. 犯⾏の⾒返りを減らす(割に合わない)
標的を隠したり、排除したり、利益を得にくくすることで犯⾏を防ぐ
4. 犯⾏の誘因を減らす(その気にさせない) 「動機・プレッ
犯罪を⾏う気持ちにさせないことで犯⾏を抑⽌する シャー」の低減
5. 犯罪の弁明をさせない(⾔い訳させない)
犯⾏者による⾃らの⾏為の正当化理由を排除する
「正当化」の低減
※犯罪学者のCornish & Clarke(2003)が提唱した都市空間における犯罪予防の理論。監視者の設置などによって
外部からのコントロールが可能な「環境」を適切に定めることを主眼として、犯罪機会・動機を低減し、予防する犯
罪予防策。直接的に犯罪を防⽌する対策及び間接的に犯罪を防⽌及び抑⽌する対策を含む。
5
© NEC Corporation 2015
NEC Group Internal Use Only
例えば…調査報告:内部不正への気持ちが低下する対策
やると⾒つかる
社員
順位
内容
割合
経営者・管理者
の結果
順位
割合
1位
54.2% 社内システムの操作の証拠が残る
19 位
0.0%
2位
37.5%
顧客情報などの重要な情報にアクセスした
人が監視される(アクセスログの監視等含
む)
5位
7.3%
3位
36.2%
これまでに同僚が行ったルール違反が発
覚し、処罰されたことがある
10位
2.7%
4位
31.6%
社内システムにログインするためのIDやパ
スワードの管理を徹底する
3位
11.8%
5位
31.4%
顧客情報などの重要な情報を持ち出した
場合の罰則規定を強化する
10 位
2.7.%
(出典)IPA:組織内部者の不正行為によるインシデント調査 調査報告書(2012年7月)
6
© NEC Corporation 2015
NEC Group Internal Use Only
組織の環境整備
内部不正防⽌ガイドライン 第3版
▌内部不正を防止するための環境整備に役立てて頂くためのガイドライン
▌防止対策だけでなく、発生してしまった際の早期発見・拡大防止にも対応
▌2014年9月、2015年3月に改訂
改訂概要
版数
改訂⽇
第2版
2014.
9
主な改訂内容
経営者責任の明確化、必要な⼈材の確保な
ど、経営者主導が不可⽋な取組みを新たに
追加。
・経営層によるリーダーシップの強化
・情報システム管理運⽤の委託における監督強
化
【⽬次】
1章 背景
2章 概要
3章 ⽤語の定義と関連する法律
4章 内部不正防⽌のための管理の在り⽅
付録Ⅰ 内部不正事例集
付録Ⅱ チェックシート
付録Ⅲ Q&A集
付録Ⅳ 他のガイドライン等との関係
付録Ⅴ 基本⽅針の記述例
付録Ⅵ 基本5原則と25分類の対策例New!
付録Ⅶ 対策の分類 New!
・⾼度化する情報通信技術への対応
第3版
2015.
3
本ガイドラインを使い易くすることで、よ
り広く活⽤していただけるよう強化
・企業等からの要望への対応
・ISMSの規格改訂(JIS Q 27001:2014)及び
営業秘密管理指針の全部改訂への対応
・本ガイドライン利⽤の参考となる基本原則及び
対策分類の追加
8
© NEC Corporation 2015
NEC Group Internal Use Only
※日本語版、英語版
10の観点での30の対策項⽬
番
号
観点
(分類)
番
号
観点
(分類)
1
基本⽅針
(1) 経営者の責任の明確化
(2) 総括責任者の任命と組織横断的な体制構築
6
⼈的管理
2
資産管理
(3)
(4)
(5)
(6)
(7)
7
コンプライ (22) 法的⼿続きの整備
(23) 誓約書の要請
アンス
(特徴)
アンケート調査から分析
3
物理的
管理
(8) 物理的な保護と⼊退管理策
(9) 情報機器及び記録媒体の資産管理
及び物理的な保護
(10) 情報機器及び記録媒体の持出管理及び監視
(11) 個⼈の情報機器及び記録媒体の業務利⽤
及び持込の制限
8
職場環境
(24) 公平な⼈事評価の整備
(25) 適正な労働環境
及びコミュニケーションの推進
(26) 職場環境におけるマネジメント
4
技術的
管理
(12) ネットワーク利⽤のための安全管理
(13) 重要情報の受渡し保護
(14) 情報機器や記録媒体の持ち出しの保護
(15) 組織外部での業務における重要情報の保護
(16) 業務委託時の確認
(第三者が提供するサービス利⽤時を含む)
9
事後対策
(27) 事後対策に求められる体制の整備
(28) 処罰等の検討及び再発防⽌
5
証拠確保
(17) 情報システムにおけるログ・証跡の記録と
保存
(18) システム管理者のログ・証跡の確認
1
0
組織の管理
(29) 内部不正に関する通報制度の整備
(30) 内部不正防⽌の観点を含んだ確認の
実施
9
対策項⽬
情報の格付け
格付け区分の適⽤とラベル付け
情報システムにおける利⽤者のアクセス管理
システム管理者の権限管理
情報システムにおける利⽤者の識別と認証
© NEC Corporation 2015
NEC Group Internal Use Only
対策項⽬
(19) 教育による内部不正対策の周知徹底
(20) 雇⽤終了の際の⼈事⼿続き
(21) 雇⽤終了及び契約終了による
情報資産等の返却
チェックシートで現状を把握する
各項目に関係
する部門を示
している
30の対策
項目に対応
10
© NEC Corporation 2015
NEC Group Internal Use Only
どこから検討すべきかわからない場合の参考
所属する企業や組織の環境(情報機器やネットワーク
の利⽤)により何を対策すべきかを知りたい。
(1)環境別の対策からのアプローチ
①全ての組織で検討すべき対策
②情報機器はあるが、ネットワークは存在しない場合
③組織内にネットワークが存在する場合の対策
最近の事例を基に、企業で発⽣し得る内部不正の
ケース別に対策のポイントを知りたい。
(2)内部者による不正行為別のアプローチ
①組織として検討すべき基本対策
②不正⾏為別に検討すべき対策
11
© NEC Corporation 2015
NEC Group Internal Use Only
③早期発⾒
④事後対策
(1)環境別の対策からのアプローチ
①全ての組織で検討すべき対策
基本⽅針、秘密指定、物理的管理、⼈的管理、コンプライアンス、職場環境 等
②情報機器はあるが、
ネットワークが存在しない
(クラウドサービスの利⽤によるメール
利⽤等の外部接続はある)
③組織内にネットワーク
が存在する
クラウド
サービス
㊙㊙
業務サーバ
対策例
・情報機器・記録媒体の管理、保護
・電⼦メールやSNSによる情報漏えい対策
・私物の情報機器等の業務利⽤、持込制限
12
© NEC Corporation 2015
企業内
ネットワー
ク
対策例
・利⽤者の識別・認証、アクセス管理
・システム管理者の権限管理
・ネットワークによる重要情報の受け渡し保護
・情報システムのログの記録と監査
NEC Group Internal Use Only
(2)内部者による不正⾏為別のアプローチ
組織で発⽣し得る内部不正
a.退職にともなう情報漏えい
競合他社
b.システム管理者による
不正行為
退職者
システム管理者
c. 委託先からの情報漏えい
d. 職場環境に起因する
不正行為
評価に不満
残業が多い
相談できない
業務委託
委託元
13
社内
Facebook、
Twitter、掲⽰版 情報
㊙
等
私物のスマート
フォン、USBメモ
リ
委託先
© NEC Corporation 2015
e. ルール不徹底に起因する
不正行為
NEC Group Internal Use Only
さらに・・・外部攻撃への対策にもなり得る
対策できない
標的型攻撃のシナリオ
計画
標的組織に関係する情報の収集
②攻撃準備:
①計画立案
攻撃に必要となる環境の準備
(メール、攻撃⽤サーバ)
ウイルス感染
③初期潜⼊:
標的型メールの送付
④攻撃基盤構築:
有効な内部不正対策例
・管理者権限の最⼩化
・アクセス制限
・ログの取得と定期監査 ③初期潜入
⼈が⾏う不正アクセス
侵⼊端末を起点にして、ネットワーク
およびサーバの位置情報等を収集
④攻撃基盤構築
⑤内部調査侵入
⑤内部侵⼊・調査:
認証情報を窃取しながら、
侵攻範囲を拡⼤
(管理端末乗っ取り、サーバ侵害等)
対策は極め
て困難
14
②攻撃準備
①計画⽴案:
⑥⽬的遂⾏:
乗っ取ったサーバから機密情報を
窃取、重要システムを破壊
© NEC Corporation 2015
NEC Group Internal Use Only
⑥目的遂行
(参考)IPA 「⾼度標的型攻撃向けたシステム設計ガイド」
https://www.ipa.go.jp/files/000046236.pdf
職場の環境整備
どうして、職場環境の整備が⼤切なのか?
-
情報システムのみで守ろうとすると、
対策コストが増加
さらには業務プロセスに影響を与える
制度・ルールを決めても
それが守られなければ意味がない
+
16
内部不正を実⾏できる⽳があっても
思いとどまる効果が期待できる
© NEC Corporation 2015
NEC Group Internal Use Only
アンケート調査の設計
(仮説となる質問についての検討)
▌エンタープライズリスクマネジメントの⼈的リスクの研究を援⽤
z⼈的リスクの6項⽬から、内部不正に係る2項⽬を抽出
• 従業員のパフォーマンス低下
• 従業員のモラルハザード
• 従業員の内部告発
• 従業員の離職
• 従業員の訴訟
• 労働組合の介⼊
⇒モラル・モチベーションの低下によって発⽣
zモラル・モチベーションを低下させる職場環境に関連する4項⽬
• ⽣活満⾜: 雇⽤条件に関すること
• 職務満⾜: ⼈事評価に関すること
• 職場満⾜: 上司・同僚・部下との職場内の⼈間関係に関すること
• 企業満⾜: 経営者のリーダーシップ、組織コミットメント、企業モラルに関すること
17
© NEC Corporation 2015
NEC Group Internal Use Only
アンケート調査の設計
▌4つのドキュメントを参照
• 中⼩企業における⼈材の採⽤と定着(独⽴⾏政法⼈労働政策研究・研究機構)
• 職場におけるこころの健康づくり 労働者の⼼の健康の保持増進のための指針(厚⽣労働省)
• Japan Fraud Surey 2012 企業の不正リスク実態調査
(デロイトトーマツファイナンシャルアドバイザリー株式会社)
• ⽇本的経営と情報セキュリティ研究会報告書(中間報告)(独⽴⾏政法⼈情報処理推進機構)
▌アンケート調査の質問項⽬(「⾮常にあてはまる」〜「全くあてはまらない」
の5件法)
(
(
(
(
(
(
(
(
(
18
1
2
3
4
5
6
7
8
9
)
)
)
)
)
)
)
)
)
労働条件(8 問)
給与待遇(6 問)
福利厚⽣(教育・研修)(4 問)
上司との関係(5 問)
同僚との関係(5 問)
経営⽅針(3 問)
組織ルール(8 問)
組織コミットメント(11 問)
形式主義(9 問)
© NEC Corporation 2015
⽣活満⾜
⽣活満⾜、職務満⾜
職務満⾜
職場満⾜
職場満⾜
企業満⾜
企業満⾜
企業満⾜
企業満⾜
NEC Group Internal Use Only
アンケート調査の概要と分析
【調査概要】
▌期間: 2013年1⽉15⽇〜2013年1⽉17⽇
▌⽅法: マーケティング会社のWebアンケート
▌サンプル: マーケティング会社のモニター会員
男性
⼥性
合計
不正経験あり
405
111
516
不正経験なし
346
170
516
751
281
1,032
【分析】
▌ U検定(Mann-Whiney検定)
z 各アンケート項⽬で,「内部不正の経験あり」「内部不正の経験なし」の2群
に対して有意⽔準5%(P < 0.05)で検定
z あるアンケート項⽬で,2群で有意差(P < 0.05)が⾒られれば,異なる環境で
あったとする
19
© NEC Corporation 2015
NEC Group Internal Use Only
アンケート調査の分析結果と考察(1)
z(1) 労働条件(7/8問)
• 「適切な業務量と業務配分」「安全・衛⽣的な的な職場」とった条件が有効と考えられる
• 「ジョブローテーション」も考慮する必要がある
z(2) 給与待遇(6/6問)
• ⼈事評価において,「公平」「透明性」「客観的」といった評価が有効と考えられる
• 成果達成にプレッシャーを強く感じさせない
z(3) 福利厚⽣(1/4問)
• 単に研修が受講できるということでなく,仕事で必要な技術や知識に関する研修を受講さ
せることが必要と考えられる
z(4) 上司との関係(4/5問)
• 上司は部下に「正当な扱い」「⽀援」ということを⼼がけて接することが有効と考えられ
る
z(5) 同僚との関係(5/5)
• 同僚同⼠で「助け合い」「良好な関係」が作れるような職場環境が有効と考えられる
20
© NEC Corporation 2015
NEC Group Internal Use Only
アンケート調査の分析結果と考察(2)
z(6) 経営⽅針(3/3問)
• 経営者は,理念やビジョンとして内部不正対策の必要性を明確にし,その重要性を役職員
に理解させることが有効であると考えられる
z(7) 組織ルール(8/8問)
• 内部不正対策に関するセキュリティポリシーが明確に決められており,役職員が遵守する
職場環境が有効であると考えられる
z(8) 組織コミットメント(1/11問)
• 「私は社会的責任をよく理解している」という項⽬のみ有意な差が⾒られた
z(9) 形式主義(2/9問)
• 「本⾳で話をする⼈が多い」「かなりマナーがよい⽅だ」といった「対⼈関係」に良い影
響を与える項⽬に有意な差が⾒られた
「経営⽅針」や「組織ルール」に関しては、組織全体の環境作
りの問題と捉えて本ガイドラインの「2-2 内部不正対策の体制
構築の重要性」及び「4-1 基本⽅針」に記載
21
© NEC Corporation 2015
NEC Group Internal Use Only
ガイドラインの職場環境の対策項⽬
▌分析結果の考察から、「職場環境」の対策として2項⽬を策定
(有識者等へのインタビュー調査の結果も考慮)
公正な⼈事評価の整備
公平で客観的な⼈事評価を整備するとともに,業績に対する評価を説明
する機会を設ける等の⼈事評価や業績評価を整備することが望ましい.
また,必要に応じて⼈員配置及び配置転換等を⾏い,適切な労働環境の
整備を推進する.
適正な労働環境及びコミュニケーションの推進
業務量及び労働時間の適正化等の健全な労働環境を整備するとともに,
業務⽀援を推進する体制や相談しやすい環境を整える等の職場内におい
て良好なコミュニケーションがとれる環境を組織全体で推進することが
望ましい.
22
© NEC Corporation 2015
NEC Group Internal Use Only
まとめ
組織での対応の準備はできていますか?
皆さんの職場環境⼤丈夫ですか?
この機会に再度⾒直してみてはいかがでしょうか
【活⽤して頂ければ幸いです】
・内部不正対策14の論点
・組織における内部不正防⽌ガイドライン
23
© NEC Corporation 2015
NEC Group Internal Use Only
Fly UP