【内部不正の対策を調査】3割以上の企業が「内部不正が起きたことがある」実態　うち、「意図して行われた不正」経験がある企業は約7割

　株式会社ボスコ・テクノロジーズ（本社：東京都港区、代表取締役：林 經正）は、従業員数50名以上の企業に勤める情報システム担当者100名を対象に、内部不正対策に関する実態調査を実施しましたので、お知らせいたします。

■調査サマリー

▼本調査のレポートダウンロードはこちら

https://www.bosco-tech.com/document/insider-threat-mitigation-2405/

■調査概要

調査概要：内部不正対策に関する実態調査

調査方法：IDEATECHが提供するリサーチPR「リサピー®︎」の企画によるインターネット調査

調査期間：2024年4月16日〜同年4月17日

有効回答：従業員数50名以上の企業に勤める情報システム担当者100名

※構成比は小数点以下第2位を四捨五入しているため、合計しても必ずしも100とはなりません。

■3割以上が、「勤務先で内部不正（重要情報やシステムの窃取、持ち出し、漏えい、消去・破壊等）が起きたことがある」と回答

　「Q1.お勤め先で、内部不正（重要情報やシステムの窃取、持ち出し、漏えい、消去・破壊等）が起きたことがありますか。」（n=100）と質問したところ、「何度もある」が4.0%、「数回程度ある」が23.0%、「一度だけある」が4.0%という回答となりました。

・何度もある：4.0%

・数回程度ある：23.0%

・一度だけある：4.0%

・ない：69.0%

■内部不正について、約5割は「意図的」、2割強は「意図して行われたこともある」との声

　Q1で「何度もある」「数回程度ある」「一度だけある」と回答した方に、「Q2.内部不正は意図して行われたものですか。」（n=31）と質問したところ、「はい」が45.2%、「どちらもある」が22.6%という回答となりました。

・はい：45.2%

・どちらもある：22.6%

・いいえ：32.3%

■76.0％が「勤務先では内部不正の対策を行っている」一方で、10.0％が「全く行っていない」と回答

　「Q3.あなたのお勤め先では内部不正の対策を十分に行っていますか。」（n=100）と質問したところ、「十分に行っている」が42.0%、「やや十分に行っている」が34.0%という回答となりました。

・十分に行っている：42.0%

・やや十分に行っている：34.0%

・あまり行っていない：14.0%

・全く行っていない：10.0%

■勤務先で行っている内部不正の対策、「PC端末等のセキュリティ管理の徹底」、「アクセス権の管理」が上位に

　「Q4.お勤め先で、内部不正を防止するために行っていることを教えてください。（複数回答）」（n=100）と質問したところ、「PC端末等のセキュリティ管理の徹底」が84.0%

、「アクセス権の管理」が63.0%、「内部不正防止に特化した社内ポリシーや社内規定の整備」が59.0%という回答となりました。

・PC端末等のセキュリティ管理の徹底：84.0%

・アクセス権の管理：63.0%

・内部不正防止に特化した社内ポリシーや社内規定の整備：59.0%

・中途退職者に対する秘密保持義務契約書や誓約書の提出：43.0%

・2人以上の管理者による業務遂行：23.0%

・セキュリティ担当者の業務負担の削減などによる職場環境の整備：17.0%

・その他：0.0%

■「サーバアクセスのログ分析を定期的に行っている」や「USBメモリーの使用禁止」などの対策も

　「Q5.Q4で回答した以外に、内部不正を防止するために行っていることがあれば、自由に教えてください。（自由回答）」（n=100）と質問したところ、「サーバアクセスのログ分析を定期的に行っている」や「USBメモリーの使用禁止」など100の回答を得ることができました。

＜自由回答・一部抜粋＞

・38歳：サーバアクセスのログ分析を定期的に行っている。

・55歳：USBメモリーの使用禁止。

・51歳：資産管理ソフトおよび通信ログ採取（外部委託）を徹底し、かつ内部規定を策定している。

・43歳：パスワードを定期的に変更して不正アクセスを防ぐ。

・62歳：パソコン操作ログ、インターネットアクセスログ、送受信ログ等の保管。

・52歳：コンプライアンス教育の徹底のために毎月啓発セミナーが開かれている。

・50歳：ツールによるPCログの取得及び保管、コンプライアンス教育。

■勤務先で内部不正が起きた際に講じた措置、「内部不正の影響範囲の特定」、「組織内外の関係者との連携」など

　Q1で「何度もある」「数回程度ある」「一度だけある」と回答した方に、「Q6.内部不正が起きた際に、お勤め先ではどのような措置を講じましたか。（複数回答）」（n=31

）と質問したところ、「内部不正の影響範囲の特定」が74.2%、「組織内外の関係者との連携」が71.0%、「個人情報保護委員会及び本人（漏えいしたデータの所有者）への報告」が54.8%という回答となりました。

・内部不正の影響範囲の特定：74.2%

・組織内外の関係者との連携：71.0%

・個人情報保護委員会及び本人（漏えいしたデータの所有者）への報告：54.8%

・証拠の確保：35.5%

・単独作業の禁止：19.4%

・差止請求や損害賠償請求：19.4%

・民事訴訟による仮処分：9.7%

・その他：9.7%

■内部不正が起きる頻度、「1年に1回未満」が38.7%で最多

　Q1で「何度もある」「数回程度ある」と回答した方に、「Q7.内部不正が起きる頻度を教えてください。」（n=31）と質問したところ、「1年に1回未満」が38.7%、「5年以上に1回程度」が25.8%、「2～3年に1回程度」が12.9%という回答となりました。

・1年に1回未満：38.7%

・1～2年に1回程度：9.7%

・2～3年に1回程度：12.9%

・3～4年に1回程度：3.2%

・4～5年に1回程度：9.7%

・5年以上に1回程度：25.8%

■内部不正を起こさないために、今後していきたい対策、57.0％が「接続を制御をするための権限の管理」と回答

　「Q8.内部不正を起こさないために、今後していきたい対策を教えてください。（複数回答）」（n=100）と質問したところ、「接続を制御をするための権限の管理」が57.0%、「接続可能なサーバやネットワーク機器のアクセス制御」が56.0%、「操作ログの管理と従業員への通達」が56.0%という回答となりました。

・接続を制御をするための権限の管理：57.0%

・接続可能なサーバやネットワーク機器のアクセス制御：56.0%

・操作ログの管理と従業員への通達：56.0%

・情報システムにおける利用者の識別と認証　：47.0%

・教育による内部不正対策の周知徹底：44.0%

・その他：4.0%

■「ゼロトラストの導入」や「AIの活用」などの声も

　「Q9.Q8で回答した以外に、内部不正を起こさないために、今後していきたい対策があれば、自由に教えてください。（自由回答）」（n=100）と質問したところ、「ゼロトラストの導入」や「AIの活用」など100の回答を得ることができました。

＜自由回答・一部抜粋＞

・52歳：ゼロトラストの導入。

・34歳：AIの活用。

・61歳：事例集をベースにした社内研修。

・51歳：会社で許可した以外のネットワークを利用した外部サービス（SaaS）の監視を徹底する予定。

・63歳：登録のない場所への転送や取得はできないような措置。

・52歳：コンプライアンスの周知とセキュリティ対策強化。

・50歳：セキュリティ教育、利用者及びPCのAI等による振る舞いチェック。

■まとめ

　今回は、従業員数50名以上の企業に勤める情報システム担当者100名を対象に、内部不正対策に関する実態調査を実施しました。

　まず、3割以上が勤務先で内部不正が発生しており、そのうち約5割が「内部不正は意図して行われた」、2割強が「意図して行われたこともある」と回答しました。また、内部不正の対策について、76.0％は「行っている」と回答した一方、「全く行っていない」企業も10.0%にのぼります。具体的に行っている対策としては、「PC端末等のセキュリティ管理の徹底」（80%以上）、「アクセス権の管理」（63.0%）、「内部不正防止に特化した社内ポリシーや社内規定の整備」（59.0%）が上位に挙がっています。さらに、内部不正が発生した際に講じた措置として、「内部不正の影響範囲の特定」（74.2％）や、「組織内外の関係者との連携」（71.0％）を上位措置として実施しており、内部不正の発生頻度は、「1年に1回未満」が38.7％と最も多く、次いで「5年以上に1回程度」が25.8％でした。最後に、内部不正を起こさないために今後していきたい対策を伺うと、「接続を制御するための権限の管理」（57.0％）、「接続可能なサーバやネットワーク機器のアクセス制御」（56.0%）、「操作ログの管理と従業員への通達」（56.0%）が挙げられました。

　今回の調査では、情報システム担当者が直面する内部不正の課題が明らかになりました。多くの企業で基本的なセキュリティ対策は施されているものの、内部不正の発生を完全に防ぐことは難しい現状があります。しかし、内部不正は情報漏えいやデータの損失に直結し、企業にとって重大なリスクとなります。こうした状況を踏まえ、ゼロトラストの考え方を取り入れ、内部不正対策のさらなる強化、特に証跡管理の徹底や情報へのアクセス制御の厳格化が今後ますます企業に求められるのではないでしょうか。

▼本調査のレポートダウンロードはこちら

https://www.bosco-tech.com/document/insider-threat-mitigation-2405/

■操作監視プラットフォーム「SMART Gateway」について

＜手元端末・管理対象機器に特別なアプリケーション等の導入が不要のため、スピーディな導入を実現！＞

　SMART Gatewayは、「組織内部のセキュリティリスク軽減に貢献するツール」です。各組織・企業において、情報漏洩などのインシデントリスクがあり、その原因として、「不正操作や誤操作・うっかりミス」など "組織内部" に起因するものがあります。SMART Gateway はそういったリスクの軽減に貢献します。これまで大手通信事業会社や官公庁、自治体、金融機関と言った厳しいセキュリティレベルを求められる先での導入実績を積み上げてきました。1台のSMART Gatewayサーバで数十万台を管理可能で、同時に1,000セッションの録画が可能など、一般的なシステムの数十倍のコストパフォーマンスを実現しています。

▼詳しくはこちら

リンク：https://www.bosco-tech.com/smart-gw/

■株式会社ボスコ・テクノロジーズについて

　自動化・仮想化・セキュリティの技術開発を強みに、国内最大手通信事業会社の基幹システム開発、官公庁のネットワークシステム開発に従事し、情報社会インフラ、交通社会インフラを支えてきました。また、ソフトウェア製品 SMART Gateway を開発し、官公庁、自治体、国内大手企業を始め多数の組織に展開しています。

URL：https://www.bosco-tech.com/

所在地：東京都港区西新橋一丁目 6 番 13 号　虎ノ門吉荒ビル 4F

設立：2012年2月29日

代表：林 經正

事業内容：社会インフラ・サービス開発事業、技術コンサルティング事業