JAPHICマーク取得企業の内部不正対策が難しい理由

未分類

内部不正は、企業における内部の人間が情報システム、データなどに対して不正なアクセスや操作を行うものです。
また多くの企業がこちらに悩まされている理由の一つに、対策を取るのが難しいことが挙げられます。
今回は、JAPHICマーク取得企業の内部不正対策が難しい理由を解説します。

JAPHICマーク取得企業の内部不正対策が難しい理由4選

外部からの攻撃よりも、内部不正の方が対策は難しいとされる理由には、主に以下のことが挙げられます。

・セキュリティ人材が不足している
・一部の従業員は正規の手段でアクセスできる
・通常業務と似た行動の中で行われる
・故意ではない行動も含まれる

各項目について詳しく説明します。

セキュリティ人材が不足している

企業の多くは、深刻なセキュリティ人材の不足に陥っています。
こちらはJAPHICマーク取得企業も例外ではありません。

情報セキュリティリスクを正しく認識し、具体的な施策に落とし込める専門人材の確保ができなければ、内部不正対策は難しくなります。

またなんとか人材を確保し、基本方針を定めたとしても、内部不正の具体的な施策の策定、運用にまで手が回らないケースは多いです。
外部からの攻撃への対策だけでも、セキュリティ担当者の負担はかなり大きくなります。

一部の従業員は正規の手段でアクセスできる

JAPHICマーク取得企業における一部の従業員は、正規の手段で機密情報にアクセスすることができます。
こちらも内部不正の対策が難しい理由です。

外部から機密情報にアクセスするには、基本的には不正な方法しか選択肢がありません。
一方、内部不正は正しい方法でアクセスできるため、実際に被害に遭っていることが確認できるまで、危険が忍び寄っていることに気付かないケースがあります。

こちらは、アクセス権限が適切に付与・管理されている場合でも同じことです。
例えばJAPHICマーク取得企業における上層部、セキュリティ担当者などの内部不正では、付与された限定的なアクセス権限を悪用されることがあります。

通常業務と似た行動の中で行われる

JAPHCマーク取得企業における内部不正対策が難しい理由としては、通常業務と似た行動の中で行われることも挙げられます。

従業員が不正を働く場合、わざわざ業務時間外などにアクセスせず、あたかも通常業務を遂行するかのように見せかけて実行されるケースが多いです。
このような方法であれば、違和感なく不正を働ける可能性が高いからです。

また内部不正を防ぐ立場の上層部などは、実際その場面に立ち会っていないことがほとんどです。
そのため機密情報にアクセスしている場合でも、業務上必要なものなのか、不正を働くためのものなのかを見分けるのは困難です。

故意ではない行動も含まれる

サイバー攻撃など外部からの攻撃は、基本的に悪意を持って故意に行われるものです。

一方、内部不正は外部からの攻撃とは違い、従業員の故意ではない行動も含まれます。
こちらも対策を難しくしている要因です。

IPAの調査によると、内部不正を行った理由のうち、故意ではない理由は全体の半数以上を占めています。
つまり、うっかりルールに違反したことや、そもそもルールを知らなかったことが理由で起こる内部不正も多いということです。

もちろん、従業員に情報セキュリティの意識を強く植え付けていれば、ある程度こういったヒューマンエラーは回避できるかもしれません。
しかし、実際業務を行うのは従業員自身であるため、完全に防止するのは難しいです。

まとめ

JAPHICマーク取得企業が内部不正のリスクを極限まで減らすには、内部不正を行わせないシステム、見逃さない環境づくりが大切です。
また内部不正の原因になり得るストレスやハラスメントのケア、内部不正チェックシートの活用などもおすすめです。
もちろん、従業員のITリテラシ―を向上させるために、定期的な従業員教育を実施することも大切です。

JAPHICマークに興味を持って頂いたら

JAPHICマークをもっと知って頂くために、コンサルタントによるJAPHICマーク取得のための無料セミナーを月2回実施しています。
詳しい日程はこちらから

JAPHICマーク取得コンサルティング資料請求などはこちらから

未分類
タイトルとURLをコピーしました