内部不正系(インサイダー)の攻撃と対策

攻撃視点の分類 → セキュリティ脅威マップ / 横断「供給網・内部(レイヤーをまたぐ)」

正規の権限を持つ社員・退職者・委託先が、情報を持ち出す/悪用する 攻撃の総称。一言でいえば 「合鍵を正しく持っている人」の問題 です。外部の攻撃者は鍵をこじ開けて入ってきますが、内部不正の相手は 最初から鍵を持っている。だから警報も鳴らず、気づくのが遅れます。しかも、これは 悪意ある不正だけではありません。「宛先を間違えて送ってしまった」「ノートPCを電車に置き忘れた」といった 過失(うっかり) も、結果として情報が漏れれば同じ被害になります。本ページは、この 悪意 と 過失 の両方 を扱います。

このページの読み方 — 🟢 は全員が知っておく基礎、🔧 はエンジニア・運用担当者向けの実装/設定。まず🟢を全員で、🔧は技術担当が押さえる。

1. このジャンルの攻撃とは

外部からの攻撃(フィッシングやマルウェア)は、本来アクセスできない人が、なんとかして入り込もうとする 戦いです。だから「壁を高くする・入口を見張る」が効きます。

内部不正は、ここが根本的に違います。

  • 正規の権限で、正規の経路から、正規の認証を通ってアクセスする。
  • システムから見れば「いつもの社員が、いつもの仕事をしている」ようにしか見えない。
  • ファイアウォールもMFA(多要素認証)も、本人がやっている以上は素通りしてしまう。

つまり、「侵入されたかどうか」を見張る発想では検知できない。代わりに必要なのは、「正しくログインしている人が、しては困ることをしていないか」を見る発想です。

たとえば「真夜中に、担当でない顧客名簿を、ふだんの100倍ダウンロードした」——ログイン自体は正規でも、ふるまいが異常。ここを見るのが内部不正対策の中心になります(後述の🔧)。

そして忘れてはいけないのが 過失。悪意がなくても、メールの宛先ミス、クラウドの公開設定ミス、端末の紛失で、情報は同じように外へ出ます。「悪い人を捕まえる」だけでなく「うっかりを起こさせない仕組み」 までを含めて、初めて対策になります。

2. 主な手口

手口 だれが しくみ・典型例
正規権限の悪用 在職者 仕事で渡された権限の範囲で、業務外の情報まで見る・コピーする
データの持ち出し 在職者・退職予定者 私物USB・個人クラウド(Drive等)・メールの自分宛転送・印刷・スマホでの画面撮影
退職直前の持ち出し 退職予定者 辞める数週間前から、顧客名簿・設計データ・ソースコードを少しずつ持ち出す
退職者アカウントの残存 元社員・元委託先 退職後もアカウントが消されず、外から(あるいは元同僚経由で)悪用される
特権の濫用 管理者・運用担当 管理者権限で、業務に無関係な個人情報・有名人の記録・同僚の情報を私的に閲覧
委託先・派遣の不正 外部委託・派遣 預けたデータを契約範囲外に持ち出す、再委託先から漏れる
過失(うっかり) 全員 メール誤送信(宛先間違い・全員返信・添付ミス)、クラウド誤公開端末・書類の紛失
買収・産業スパイ 在職者+外部 競合や第三者にそそのかされ、見返りと引き換えに機密を渡す

ポイントは、多くが「ふだんの業務」に紛れていること。私物USBへのコピーも、メールの自分宛転送も、それ単体では仕事の一場面に見えます。だから「禁止」と「気づける仕組み」の両方が要ります。

3. 実例・典型シナリオ

  • 退職予定者が顧客名簿をUSBで持ち出す: 転職先で使うつもりで、辞める前に営業リストや見積データを私物USBにコピー。本人は「自分が作ったもの」と思っているが、会社の資産であり、れっきとした不正持ち出し。
  • 辞めた人のアカウントが消されず悪用される: 退職処理でメールやSaaSのアカウントが止め忘れられ、数か月後に外部から不正ログイン。あるいは「共有アカウントのパスワードを退職者がまだ知っている」ケース。
  • 管理者が業務外で個人情報を閲覧: システム管理者・カスタマーサポートが、特権を使って 担当でない顧客や知人・有名人の記録 を興味本位で閲覧。アクセス自体は権限内なので、ログを見ない限り気づかれない。
  • 宛先を間違えて全社/社外にメール誤送信: 個人情報の入った一覧表を、似た名前の別人や、BccにすべきところをTo/Cc で大量送信。悪意ゼロでも、漏えいとしては重大インシデント。

4. 対策

🟢 基礎(全員がやること)

  1. 過剰な権限は自分から減らす — 「念のため」で持っている広い権限は、漏れたとき被害を大きくする。自分が持つ権限も棚卸しして、要らないものは申告して外してもらう
  2. 退職・異動のときはアカウント停止を徹底 — 自分のチームから人が抜けるときは、メール・SaaS・共有フォルダ・入館証の停止を 当日中 に。共有パスワードを知っていた人が抜けたら、そのパスワードも変える。
  3. 私物USB・個人クラウドに会社データを入れない — 「家で作業するため」でも、私物のUSBやプライベートのDrive/Dropboxへ会社の情報をコピーしない。許可された方法(会社支給のクラウド等)だけを使う。
  4. メールの宛先は送信前に必ず確認 — 送信ボタンの前に 宛先と添付 をもう一度見る。社外・大人数・個人情報を含むときは特に。ToとBccの取り違えは典型的な事故。
  5. 不審な持ち出しに気づいたら報告 — 同僚の不自然な大量ダウンロードや持ち出しに気づいたら、責めるのではなく窓口へ。自分がうっかり誤送信したときも、隠さず即報告するのが被害最小化のカギ。

🔧 応用(エンジニア・運用)

  1. 最小権限と職務分掌(SoD) — 必要な人に必要な分だけ権限を付与し、定期的に棚卸し(アクセスレビュー)。「申請する人」と「承認する人」「実行する人」と「監査する人」を分けることで、一人では悪事を完結できないようにする。
  2. アクセスログ・監査と異常検知(UEBA) — 「誰が・いつ・何に・どれだけ」アクセスしたかを記録し、ふだんのふるまいから外れた動き(深夜・大量・担当外)を検知する仕組み(UEBA: ユーザー行動分析)。ログは本人が消せない場所に。
  3. DLP(持ち出し制御) — Data Loss Prevention。機密データを メール添付・USB・クラウドアップロード・印刷 で外へ出そうとした操作を検知・ブロック・記録する。誤送信対策としても効く。
  4. 特権アクセス管理(PAM) — 管理者権限は常時付与せず、必要なときだけ・期限付きで貸し出す(Just-In-Time)。特権操作はすべて記録・録画し、私的閲覧を抑止する。
  5. オフボーディング(入退社プロセス)でアカウント即時失効 — 退職・契約終了の情報を人事システムと連動させ、全アカウントを即時・漏れなく失効。委託先・派遣・共有アカウントも対象に含め、チェックリスト化する。
  6. デバイス制御とディスク暗号化 — 私物USBの接続制御(不許可デバイスのブロック)、業務端末のディスク暗号化を徹底し、紛失・盗難時に中身を読めなくする
  7. ログの保全と内部通報窓口 — 監査ログを改ざん・削除できない形で長期保全し、有事に追跡できるようにする。あわせて、不正の兆候を安心して通報できる窓口(内部通報制度)を整え、報復のない運用を明示する。

5. 解説動画(実在確認済み)

内部不正に特化したIPA公式動画の単体IDは確証が取れないため、特定の動画は埋め込まず、実在する公式ページへのリンクのみを掲載します。下記ページ内で「内部不正」「情報漏えい」に関する映像・資料を確認できます。

6. チェックリスト

🟢 全員

  • 自分が持つ権限を見直し、不要なものは外す申告をした
  • 私物USB・個人クラウドに会社データを入れていない
  • メール送信前に「宛先・添付・To/Bcc」を確認する癖がついている
  • チームから人が抜けるとき、アカウント停止を依頼する流れを知っている
  • 不審な持ち出しや、自分の誤送信を報告する先を知っている

🔧 エンジニア・運用

  • 最小権限・職務分掌(SoD)を設計し、定期的にアクセスレビューしている
  • アクセスログを保全し、異常なふるまい(UEBA)を検知できる
  • DLPで機密データの持ち出し(メール/USB/クラウド/印刷)を制御している
  • 特権アクセス管理(PAM)で管理者権限を期限付き・記録付きにしている
  • オフボーディングで全アカウントを即時失効できる(委託先・共有も含む)
  • 業務端末のディスク暗号化とデバイス制御を有効化している
  • 内部通報窓口があり、監査ログは改ざんできない形で保全されている

7. 関連ジャンル・出典

関連ジャンル

出典(一次情報)

  • IPA「組織における内部不正防止ガイドライン」 — 内部不正対策の体系的な手引き
  • IPA「情報セキュリティ10大脅威(組織編)」 — https://www.ipa.go.jp/security/10threats/
  • IPA「映像で知る情報セキュリティ」 — https://www.ipa.go.jp/security/videos/index.html
  • JPCERT/CC(インシデント対応・注意喚起)
  • NIST(アクセス制御・最小権限などのベストプラクティス)

合わせて読む