コラム

 公開日: 2015-01-06  最終更新日: 2015-07-15

内部不正対策としての情報システム委託先の管理

2014年も様々なセキュリティ事件が発生しました。その中でも、委託先担当者による内部犯行が注目された1年でした。
2014年に発生した主な内部犯行事件は、以下の通りです。

・2014年2月、某地方銀行のATM保守委託業者社員によるキャッシュカード偽造事件
・2014年3月、某大手電機メーカーの業務提携先社員による研究データ流出事件
・2014年7月、某通信教育会社のシステム保守委託社員による顧客情報流出事件

内部不正はいつの時代にも存在するものであり、各企業も相応の対策を行っていると思います。特に昨年について特徴的だったのは、システムやテクノロジー領域での事件であり、社員ではなく、委託先従業員によって犯行が行われ、漏えい対象となるデータは容易に持ち出し可能であったことです。
データ化した社内の機密情報に対する情報漏えいのイメージは以下の通りです。
(このイメージは15年くらい前に作成して以来、ずっと使い続けているものです。)

情報漏えいイメージ

特にデータ化された情報の漏えいは、社員よりも情報システムの委託先従業員による犯行が多い傾向にあります。それは、以下の様に企業の情報システムを取り巻く環境に特徴があるからです。

(1)委託先従業員は内部関係者であるため、セキュリティ対策は無効になる
(2)委託先従業員は社員よりも高度なアクセス権を保有する傾向にある
(3)委託先従業員は社内のセキュリティや内部犯行の施策から漏れている可能性がある

(1)について、いわゆるサイバー攻撃のような外部からの不正アクセスに対しては、ファイヤーウォールや侵入検知システム(IDS)といった防止策がありますが、委託先従業員は企業内部の関係者であることから、そのような障壁は簡単にクリアして、社内のデータベースやファイルサーバにアクセス可能な状態です。

(2)について、企業のシステム化は急速に拡大してきましたが、一方で情報システムの運営については、社内には企画管理業務を残し、実際の開発、保守、運用作業は外部の専門業者に委託することで、社内リソースを本業に集中させると同時に、急速なテクノロジーの進化に対応することができました。しかし、その結果として、情報システムのデータベースを直接操作するような高度な権限が委託先の担当者に付与される一方で、社員はその高度な権限を使用できず、委託先担当者に依存せざるを得ない状態となっています。

(3)について、各企業では内部不正防止やセキュリティ対策のため、社員教育を行なう等の施策を実施していると思いますが、委託先に関しては如何でしょうか。契約書に「提供された機密情報は第三者に漏えいしてはならない。」という一文があるだけで、具体的な措置は委託先にお任せしている状態ではないでしょうか。
また、昨今ではモバイル端末による外出先からのアクセスを行うため、ワンタイムパスワード等や暗号化通信等の様々な対策を行っていますが、一方で、委託先の事業所からはそのような措置がされておらず、容易に社内ネットワークにアクセス可能ではないでしょうか。また、委託先の事業所にある端末がデスク上に放置され、担当者以外の従業員も操作可能になっているかもしれません

もし情報漏えい事件が発生した場合、情報を漏えいした実施者が罪に問われるのはもちろんですが、当該情報を保有する企業も管理責任を怠ったとして世間の非難を浴びる可能性があります。特に、漏えい情報が個人情報の場合は、顧客に対する賠償金や訴訟費用等のコスト等、金銭的なダメージも追加されます。そのためには、少なくとも委託先の機密情報管理上の対策内容を把握し、自社の措置と比較して同等レベルと判断できるか確認することが重要だと考えます。

上記内容に関連して、ご相談や質問などがございましたら、お気軽にご連絡ください。
なお、弊社では情報漏えい対策の一環としての外部委託先簡易診断サービスを提供しております。ご興味があればご確認ください。

お問い合わせフォームは、こちらです。

/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_
ITを有効活用し、課題を解決します
デルタエッジコンサルタント株式会社
金子 清隆
URL  http://www.deltaedge.co.jp
/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_

この記事を書いたプロ

デルタエッジコンサルタント株式会社 [ホームページ]

経営コンサルタント 金子清隆

東京都中央区日本橋大伝馬町13-7 日本橋大富ビル3階 [地図]
TEL:03-6869-8336

  • 問い合わせ

このコラムを読んでよかったと思ったら、クリックしてください。

「よかった」ボタンをクリックして、あなたがいいと思ったコラムを評価しましょう。

7

こちらの関連するコラムもお読みください。

<< 前のコラム 次のコラム >>
最近投稿されたコラムを読む
サービスメニュー

日常業務の中で、あるいは報道や世間の動向を見ている中で、以下のように感じたことはないでしょうか。・「現状にどこか満足できない」、「どこかに課題がありそう...

お知らせ

大きな被害が発生した熊本地震の被災地では、まだ余震の続く中で復興作業が行われています。このような大地震発生等の事象に備えて、多くの企業では防災対策や業務継...

 
このプロの紹介記事
金子清隆・ITコンサルティング・デルタエッジコンサルタント株式会社

ITを中小企業のビジネスに有効活用するには?ITの運用方法やコストでお悩みの方に(1/3)

 2013年9月にデルタエッジコンサルタント株式会社を立ち上げた金子清隆さん。中小企業の業務改善をサポートするコンサルティングをベースに、特にITの最適化を通して顧客のビジネスを陰から支えています。 「ITとビジネスとの関係は年々密接に...

金子清隆プロに相談してみよう!

朝日新聞 マイベストプロ

中小企業の実情を踏まえた、最適コストによるIT活用をご提案

会社名 : デルタエッジコンサルタント株式会社
住所 : 東京都中央区日本橋大伝馬町13-7 日本橋大富ビル3階 [地図]
TEL : 03-6869-8336

プロへのお問い合わせ

マイベストプロを見たと言うとスムーズです

03-6869-8336

勧誘を目的とした営業行為の上記電話番号によるお問合せはお断りしております。

金子清隆(かねこきよたか)

デルタエッジコンサルタント株式会社

アクセスマップ

このプロにメールで問い合わせる
プロのおすすめコラム
マイナンバー制度と年末調整等

今年も残すところ2ヶ月という時期となりました。給与計算関連の業務担当者にとっては、年末調整、及び法定調書等...

[ マイナンバー制度 ]

水害に対応するための簡易的なBCP策定のすすめ

ここ数年、日本各地で台風や集中豪雨による水害の発生や被害が増えています。もし、皆さんの会社や施設が水害に遭...

[ BCP・防災 ]

2016年上半期のネットバンキング不正送金被害状況
イメージ

先日、警察庁から今年上半期(2016年1月~6月)に発生したインターネットバンキング利用者の預貯金を狙った不正送...

[ セキュリティ ]

メールマガジンなどの不要なメールを安易に「配信停止」していませんか?

毎日の様に送信されてくる、勧誘や告知、広告などを目的としたメールマガジンや迷惑メールにうんざりしている方も...

[ セキュリティ ]

「ポケモンGO」の偽アプリや偽サイトに注意!

海外で先行配信されていたスマートフォン向けゲームアプリ「ポケモンGO」が日本で配信開始され、社会現象となって...

[ セキュリティ ]

コラム一覧を見る

スマホで見る

モバイルQRコード このプロの紹介ページはスマートフォンでもご覧いただけます。 バーコード読み取り機能で、左の二次元バーコードを読み取ってください。

ページの先頭へ