どうすれば良いんでしょうね。
内部情報漏えいは“不正のトライアングル”で起こる、まずは現状確認を(INTERNETwatch)
(2014/7/11 17:06)
株式会社ベネッセコーポレーションの顧客情報漏えい事件を受け、独立行政法人情報処理推進機構(IPA)は10日、内部不正防止の社内ルールを策定する重要性について、改めて呼び掛けを行った。
ベネッセでは9日の時点で、グループ外の内部関係者が漏えい元であると推定している。外部ネットワークからのハッキングではない、内部関係者による情報漏えいは従来から多発しており、IPAでは2013年3月の時点で対策ガイドラインを策定。一般企業などが利用できるよう、広く公開している。
ガイドラインでは、10分類・全30項目のチェックシートを元に、現状をまず把握することが重要だと説明。「基本方針を策定しているか」「内部不正対策の総括責任者を任命しているか」などの項目があり、これらを経営者、情報システム部、総務部などの各業務部門が遵守しているか、確認できるようにした。
(後略)
外部の者が情報漏洩するのは、起こって欲しくないことですが、企業は被害者であり対応するのもそれほど難しくはないと思われます。
一方、内部のものが情報漏洩した場合、企業は加害者となり、対応するのに如何に適切な方策を行っていたのかを説明する必要が出てきます。
企業としては、内部からの情報漏洩は避けたいと考えることでしょう。
IPAの出している「組織における内部不正防止ガイドライン」は内部からの情報漏洩を含む不正の発生防止のためのガイドラインだそうです。
元記事から引用します。
引用、ここから。
(前略)
引用、ここまで。IPAでは、内部不正が発生する要因として、“不正のトライアングル”がそろうことを挙げている。「動機・プレッシャー」「機会」「正当化」の3つで構成され、これらの要因を低減させることが、不正防止に有効という。3要素のうち「動機・プレッシャー」「機会」については、企業側の努力によって能動的にコントロールできるとしており、具体的には情報アクセス権限付与や機器持ち出しに関するルールの徹底・監視などがある。
「動機、プレッシャー」「機会」を企業が適切にコントロールすることが有効な対策と言うことなのでしょう。
今回の件でIPAが情報を掲載しています。
組織の内部関係者の不正行為による情報漏えいを防止するため、セキュリティ対策の見直しを!(独立行政法人情報処理推進機構)
掲載日:2014年7月10日
当該ページから、「組織における内部不正防止ガイドライン」や具体的な実施策に必要な製品、ソリューションが紹介された、日本ネットワークセキュリティ協会の「内部不正対策ソリューションガイド」もダウンロード出来るようになっています。
企業の担当部署の方はご覧になることをお薦めします。
それでは、今回はこのへんで。
0 件のコメント:
コメントを投稿