情報セキュリティ(43) サイバー攻撃の手口⑮ 内部犯罪

内部犯罪とは、外部の攻撃ではなく、会社内の者による情報窃盗・情報漏洩の事案です。いろいろなサイバー攻撃がありますが、私は実はこれが最も多いのではないかと思っています。いわゆる、コンプライアンス事案ということです。

2014年7月に発覚したベネッセ事件は、その典型例ではないかと思います。ベネッセの業務委託先のシステムエンジニアが、自らが保守のためアクセス可能な顧客データベースから、持参のUSBメモリに数百万件とも言われる個人情報をコピーし、名簿会社などに販売し利益を得ていたという事件です。システムエンジニアと言えども持参のデバイスにデータをコピーできてしまう体制が脆弱性とも言えます。このような内部犯罪が起きることを想定し、アクセスログの解析やデバイス接続の制御などのシステム面での対応も必要ですが、内部犯罪が発生しないように相互監視やモニタリング、内部通報制度といった不正防止策も必要です。なぜなら、コンプライアンス案件は外的な仕組みだけでは防げないからです。

情報は一旦漏洩すると、取戻しができません。内部犯罪ともなれば、経営者は管理責任を強く問われることになります。サイバーセキュリティ対策として、見落としてはならないポイントだと思います。

投稿者プロフィール

小笠原 裕
小笠原 裕中小企業診断士 行政書士
バラの咲く街、八千代市緑が丘で、コンサルティング事務所を運営しています。