情報処理推進機構(IPA)は7月10日、「組織の内部関係者の不正行為による情報漏えいを防止するため、セキュリティ対策の見直しを!」と題した呼びかけを発表した。
IPAでは、内部不正による事故・事件の発生を防止するための環境整備に役立つよう、「組織における内部不正防止ガイドライン」(以下、ガイドライン)を策定し、公開。ガイドラインでは基本方針や技術的管理、人的管理、物理的管理など10の観点から30の対策項目を示している。
内部不正が発生する状況は、「不正のトライアングル」という「動機・プレッシャー」「機会」「正当化」の3つの要因が全て揃った時に発生すると言われており、不正のトライアングルでは、3つの要因の低減が内部不正を防止するために有効としている。
中でも能動的に組織が対策できることとして、「動機・プレッシャー」と「機会」の低減を挙げている。
内部不正防止の対策例として、特に重要な情報が保管されているファイルやデータベースについては、以下のような対策をとることで情報漏えいリスクを低減できる。
重要な情報であることを明確にし、適切なアクセス権限を付与すること
重要情報の持ち出し・可搬媒体等の持ち込みの監視
定期的な操作履歴の監視・監査