内部不正系(インサイダー)の攻撃と対策
攻撃視点の分類 → セキュリティ脅威マップ / 横断「供給網・内部(レイヤーをまたぐ)」
正規の権限を持つ社員・退職者・委託先が、情報を持ち出す/悪用する 攻撃の総称。一言でいえば 「合鍵を正しく持っている人」の問題 です。外部の攻撃者は鍵をこじ開けて入ってきますが、内部不正の相手は 最初から鍵を持っている。だから警報も鳴らず、気づくのが遅れます。しかも、これは 悪意ある不正だけではありません。「宛先を間違えて送ってしまった」「ノートPCを電車に置き忘れた」といった 過失(うっかり) も、結果として情報が漏れれば同じ被害になります。本ページは、この 悪意 と 過失 の両方 を扱います。
このページの読み方 — 🟢 は全員が知っておく基礎、🔧 はエンジニア・運用担当者向けの実装/設定。まず🟢を全員で、🔧は技術担当が押さえる。
1. このジャンルの攻撃とは
外部からの攻撃(フィッシングやマルウェア)は、本来アクセスできない人が、なんとかして入り込もうとする 戦いです。だから「壁を高くする・入口を見張る」が効きます。
内部不正は、ここが根本的に違います。
- 正規の権限で、正規の経路から、正規の認証を通ってアクセスする。
- システムから見れば「いつもの社員が、いつもの仕事をしている」ようにしか見えない。
- ファイアウォールもMFA(多要素認証)も、本人がやっている以上は素通りしてしまう。
つまり、「侵入されたかどうか」を見張る発想では検知できない。代わりに必要なのは、「正しくログインしている人が、しては困ることをしていないか」を見る発想です。
たとえば「真夜中に、担当でない顧客名簿を、ふだんの100倍ダウンロードした」——ログイン自体は正規でも、ふるまいが異常。ここを見るのが内部不正対策の中心になります(後述の🔧)。
そして忘れてはいけないのが 過失。悪意がなくても、メールの宛先ミス、クラウドの公開設定ミス、端末の紛失で、情報は同じように外へ出ます。「悪い人を捕まえる」だけでなく「うっかりを起こさせない仕組み」 までを含めて、初めて対策になります。
2. 主な手口
| 手口 | だれが | しくみ・典型例 |
|---|---|---|
| 正規権限の悪用 | 在職者 | 仕事で渡された権限の範囲で、業務外の情報まで見る・コピーする |
| データの持ち出し | 在職者・退職予定者 | 私物USB・個人クラウド(Drive等)・メールの自分宛転送・印刷・スマホでの画面撮影 |
| 退職直前の持ち出し | 退職予定者 | 辞める数週間前から、顧客名簿・設計データ・ソースコードを少しずつ持ち出す |
| 退職者アカウントの残存 | 元社員・元委託先 | 退職後もアカウントが消されず、外から(あるいは元同僚経由で)悪用される |
| 特権の濫用 | 管理者・運用担当 | 管理者権限で、業務に無関係な個人情報・有名人の記録・同僚の情報を私的に閲覧 |
| 委託先・派遣の不正 | 外部委託・派遣 | 預けたデータを契約範囲外に持ち出す、再委託先から漏れる |
| 過失(うっかり) | 全員 | メール誤送信(宛先間違い・全員返信・添付ミス)、クラウド誤公開、端末・書類の紛失 |
| 買収・産業スパイ | 在職者+外部 | 競合や第三者にそそのかされ、見返りと引き換えに機密を渡す |
ポイントは、多くが「ふだんの業務」に紛れていること。私物USBへのコピーも、メールの自分宛転送も、それ単体では仕事の一場面に見えます。だから「禁止」と「気づける仕組み」の両方が要ります。
3. 実例・典型シナリオ
- 退職予定者が顧客名簿をUSBで持ち出す: 転職先で使うつもりで、辞める前に営業リストや見積データを私物USBにコピー。本人は「自分が作ったもの」と思っているが、会社の資産であり、れっきとした不正持ち出し。
- 辞めた人のアカウントが消されず悪用される: 退職処理でメールやSaaSのアカウントが止め忘れられ、数か月後に外部から不正ログイン。あるいは「共有アカウントのパスワードを退職者がまだ知っている」ケース。
- 管理者が業務外で個人情報を閲覧: システム管理者・カスタマーサポートが、特権を使って 担当でない顧客や知人・有名人の記録 を興味本位で閲覧。アクセス自体は権限内なので、ログを見ない限り気づかれない。
- 宛先を間違えて全社/社外にメール誤送信: 個人情報の入った一覧表を、似た名前の別人や、BccにすべきところをTo/Cc で大量送信。悪意ゼロでも、漏えいとしては重大インシデント。
4. 対策
🟢 基礎(全員がやること)
- 過剰な権限は自分から減らす — 「念のため」で持っている広い権限は、漏れたとき被害を大きくする。自分が持つ権限も棚卸しして、要らないものは申告して外してもらう。
- 退職・異動のときはアカウント停止を徹底 — 自分のチームから人が抜けるときは、メール・SaaS・共有フォルダ・入館証の停止を 当日中 に。共有パスワードを知っていた人が抜けたら、そのパスワードも変える。
- 私物USB・個人クラウドに会社データを入れない — 「家で作業するため」でも、私物のUSBやプライベートのDrive/Dropboxへ会社の情報をコピーしない。許可された方法(会社支給のクラウド等)だけを使う。
- メールの宛先は送信前に必ず確認 — 送信ボタンの前に 宛先と添付 をもう一度見る。社外・大人数・個人情報を含むときは特に。ToとBccの取り違えは典型的な事故。
- 不審な持ち出しに気づいたら報告 — 同僚の不自然な大量ダウンロードや持ち出しに気づいたら、責めるのではなく窓口へ。自分がうっかり誤送信したときも、隠さず即報告するのが被害最小化のカギ。
🔧 応用(エンジニア・運用)
- 最小権限と職務分掌(SoD) — 必要な人に必要な分だけ権限を付与し、定期的に棚卸し(アクセスレビュー)。「申請する人」と「承認する人」「実行する人」と「監査する人」を分けることで、一人では悪事を完結できないようにする。
- アクセスログ・監査と異常検知(UEBA) — 「誰が・いつ・何に・どれだけ」アクセスしたかを記録し、ふだんのふるまいから外れた動き(深夜・大量・担当外)を検知する仕組み(UEBA: ユーザー行動分析)。ログは本人が消せない場所に。
- DLP(持ち出し制御) — Data Loss Prevention。機密データを メール添付・USB・クラウドアップロード・印刷 で外へ出そうとした操作を検知・ブロック・記録する。誤送信対策としても効く。
- 特権アクセス管理(PAM) — 管理者権限は常時付与せず、必要なときだけ・期限付きで貸し出す(Just-In-Time)。特権操作はすべて記録・録画し、私的閲覧を抑止する。
- オフボーディング(入退社プロセス)でアカウント即時失効 — 退職・契約終了の情報を人事システムと連動させ、全アカウントを即時・漏れなく失効。委託先・派遣・共有アカウントも対象に含め、チェックリスト化する。
- デバイス制御とディスク暗号化 — 私物USBの接続制御(不許可デバイスのブロック)、業務端末のディスク暗号化を徹底し、紛失・盗難時に中身を読めなくする。
- ログの保全と内部通報窓口 — 監査ログを改ざん・削除できない形で長期保全し、有事に追跡できるようにする。あわせて、不正の兆候を安心して通報できる窓口(内部通報制度)を整え、報復のない運用を明示する。
5. 解説動画(実在確認済み)
内部不正に特化したIPA公式動画の単体IDは確証が取れないため、特定の動画は埋め込まず、実在する公式ページへのリンクのみを掲載します。下記ページ内で「内部不正」「情報漏えい」に関する映像・資料を確認できます。
- IPA「映像で知る情報セキュリティ(動画一覧)」 — https://www.ipa.go.jp/security/videos/index.html
- IPA「情報セキュリティ10大脅威」(組織編に「内部不正による情報漏えい」が継続ランクイン) — https://www.ipa.go.jp/security/10threats/
6. チェックリスト
🟢 全員
- 自分が持つ権限を見直し、不要なものは外す申告をした
- 私物USB・個人クラウドに会社データを入れていない
- メール送信前に「宛先・添付・To/Bcc」を確認する癖がついている
- チームから人が抜けるとき、アカウント停止を依頼する流れを知っている
- 不審な持ち出しや、自分の誤送信を報告する先を知っている
🔧 エンジニア・運用
- 最小権限・職務分掌(SoD)を設計し、定期的にアクセスレビューしている
- アクセスログを保全し、異常なふるまい(UEBA)を検知できる
- DLPで機密データの持ち出し(メール/USB/クラウド/印刷)を制御している
- 特権アクセス管理(PAM)で管理者権限を期限付き・記録付きにしている
- オフボーディングで全アカウントを即時失効できる(委託先・共有も含む)
- 業務端末のディスク暗号化とデバイス制御を有効化している
- 内部通報窓口があり、監査ログは改ざんできない形で保全されている
7. 関連ジャンル・出典
関連ジャンル
- セキュリティ脅威マップ(分類ハブ)
- 物理・アナログ系 — USBでの持ち出し、画面の覗き見・撮影など「その場」での漏えい
- クラウド設定・鍵管理系 — 個人クラウドへの持ち出し、公開設定ミスによる誤公開
- コミュニケーション基盤系 — メール誤送信、アカウント乗っ取り、共有アカウントの管理
出典(一次情報)
- IPA「組織における内部不正防止ガイドライン」 — 内部不正対策の体系的な手引き
- IPA「情報セキュリティ10大脅威(組織編)」 — https://www.ipa.go.jp/security/10threats/
- IPA「映像で知る情報セキュリティ」 — https://www.ipa.go.jp/security/videos/index.html
- JPCERT/CC(インシデント対応・注意喚起)
- NIST(アクセス制御・最小権限などのベストプラクティス)