内部からの脅威には過失や不注意によるもの、故意ではあるが悪意はないもの、悪意による不正行為など多様です(内部からの脅威例)。しかも発生する機会が多くあります。
- 社用パソコンでゲームをしたり、私用の電子メール・Webページの閲覧をしたりするのは、勤務中であれば就業規則違反ですし、休憩中でも、ウイルスの感染や電力の浪費などにつながります。
- 業務上でも、正規のネットワークを通すと応答が遅いなどの理由で、勝手にあいている回線や無線を使ってインターネットに接続する(裏口という)と、そこから不正侵入される危険があります。
- 社員が、自宅で業務をするため、あるいは客先で使うために、パソコンを持ち出したり、USBメモリなどにデータをコピーして持ち出したりします。それが、Winnyなどによる流出、紛失、盗難などにより情報が外部に流出することがあります。
- 逆に、ウイルスに感染したパソコンやUSBメモリを社内LANに接続して、他のパソコンに伝染することがあります。
- 故意あるいは過失により、機密情報を電子メールなどで外部に送信することがあります。
- 好奇心あるいは偶然により、権限を与えられていない情報にアクセスして閲覧したり、改ざんしたりすることがあります。
- 権限のある担当者が、操作ミスで誤ったデータを入力したり、データファイルを削除したりすることがあります。
- 権限のある担当者が、架空取引や他人預金の不正引き落としなどの犯行をすることがあります。
外部からの脅威への対策と異なり、内部を対象にした対策はかなり面倒です。
- 業務に差し支える
機密情報の入っているパソコンやUSBメモリの社外持ち出しを禁止することが考えられますが、モバイルコンピューティングが普及しているように、これを全面的に禁止することは無理があります。また、本来は自宅で業務を行うのは不適切ですが、それには適切な業務スケジュールと人員配置が必要になります。
- チェックシステムが困難
権限のない人、権限のない利用などについては、パスワードで防ぐことがきるし、利用記録で調べることができます。ところが、権限のある担当者が架空取引や不正引き落としなどの不正行為をする場合は、このような対策は役に立ちません。残高確認など情報システムを大幅に手直しする必要があります。あるいは、業務転換や強制的な長期休暇により、該当業務を他人に行わせるような対策が必要になります。
日本版SOX法による内部統制は、この解決に大きな効果がありますが、そのシステム構築に従事した関係者ならば、その裏をかく手段を知っているでしょう。
- 被対策者の反感
ケアレスミス防止対策は歓迎されるでしょうが、不正防止対策では、仲間を疑っているようでやりにくいし、その被対策者は自分が信用されていないと反感をもつでしょう。これに関しては、「性弱説」の考え方が適切です。