内部不正の実態と効果的な対策ポイント10選
近年、多くの企業で情報漏えいリスクが高まる中、その原因が外部からのサイバー攻撃だけでなく、内部からの不正行為であるケースが増えています。
IPA(情報処理推進機構)が2025年8月に公開した「企業における営業秘密管理に関する実態調査2024」の最新調査結果によると、過去5年以内の営業秘密の漏えい事例の経験の有無について、「明らかに情報漏えい事例と思われる事象が複数回あった」、「明らかに情報漏えい事例と思われる事象が 1 度あった」、及び「おそらく情報漏えいではないかと思われる事象があった」の3項目を合わせた割合は 、2020年度の5.2%から35.5%へと顕著に増加しています。
さらに、10億円以上の損害が発生した割合は2020年度調査の0%から本調査では30.0%に大幅に増加しており、営業秘密の漏えいが事業に与える影響がより深刻になっていることがわかります。
このコラムでは、2025年8月に公開されたIPA調査結果から企業内部不正の実態と、今日から取り組むべき効果的な内部不正対策について紹介します。
目次[非表示]
- 1.内部不正とは
- 2.内部不正の実態
- 3.内部不正が起こる主な要因
- 4.情報漏えいを防ぐための実践的な対策ポイント10選
- 4.1.① 特権IDの適切な管理
- 4.2.② アクセス権限の最小化(最小権限の原則)
- 4.3.③ 操作ログの記録とモニタリング
- 4.4.④ 機械学習を活用した異常検知システムの導入
- 4.5.⑤ USBメモリなどの外部記憶媒体から情報持ち出しの制限と媒体の使用ルールによる管理
- 4.6.⑥ テレワーク環境下でのセキュリティリスク管理
- 4.7.⑦ 内部不正防止ガイドラインの策定と見直し
- 4.8.⑧ 情報資産の重要性に応じた分類
- 4.9.⑨ 従業員への情報セキュリティ教育
- 4.10.⑩ 退職者への情報管理対策
- 5.内部脅威検知サービス(Internal Risk Intelligence)を活用した内部不正対策
- 5.1.導入企業の声|株式会社GRCS様
- 6.まとめ
内部不正とは
内部不正対策を講じる上で、まず「内部不正」が何を指すのかを正しく理解することが重要です。IPAが発表した「組織における内部不正防止ガイドライン」において、内部不正は以下のように定義されています。
違法行為だけでなく、情報セキュリティに関する内部規程違反等の違法とまではいえない不正行為も内部不正に含めます。内部不正の行為としては、重要情報や情報システム等の情報資産の窃取、持ち出し、漏えい、消去・破壊等を対象とします。また、内部者が退職後に在職中に得ていた情報を漏えいする行為等についても、内部不正として取り扱います。
内部不正を行う「内部者」には、現職の正社員だけでなく、派遣社員や業務委託先の社員、さらに退職者や元役員なども含まれます。これらの人物は、会社の業務や情報資産にアクセスする権限や知識を持っているため、不正を働くと組織に深刻なダメージを与える可能性があります。
内部不正の実態
出典:IPA「企業における営業秘密管理に関する実態調査2024」
IPAの調査結果によると、営業秘密の漏えいルートで「現職従業員等(派遣社員含む)のルール不徹底(ルールを知らなかった等)による漏えい」が32.6%、「現職従業員等(派遣社員含む)による金銭目的等の具体的な動機を持った漏えい」が31.5%と、現職従業員による不正が上位を占めていることが分かります。
企業は、外部からの脅威だけでなく、内部の人間が引き起こすリスクにも目を向け、包括的な内部不正対策を講じることが不可欠です。では、これらの多様なリスクの背景にはどのような要因が潜んでいるのでしょうか。次に、内部不正が発生する主な要因について詳しく見ていきましょう。
内部不正が起こる主な要因
内部不正は、単一の原因で発生するものではなく、複数の要因が複雑に絡み合って引き起こされるケースが多く存在します。主な要因として、人的要因と技術的要因の二つが考えられます。
人的要因
人的要因は、人によって引き起こされるあらゆる原因を指し、故意に重要情報を持ち出す行為だけでなく、システムの誤操作といったヒューマンエラーも含まれます。
個人的な動機から故意に行われる不正を理解するためには、人が不正を働く心理「不正のトライアングル」の理解が欠かせません。不正のトライアングルは、「動機」「機会」「正当化」の3つの要素から構成され、3つの要素がすべて揃うと不正が起こりやすくなると言われています。
①機会(Perceived Opportunity)
監視の目がなかったり、システムのセキュリティに抜け穴があったりする、不正を行いやすい環境。
②動機(Perceived Pressure)
個人的な金銭問題や過度なノルマなど、不正を行う動機となるプレッシャー。
③正当化(Rationalization)
「組織のためだ」「自分だけが悪いわけではない」といった、不正な行為を自分の中で正当化してしまう考え方。
したがって、上記3つの要素が揃わないよう対策を講じることが重要です。
関連記事:不正のトライアングルとは?企業の内部不正に繋がる要因と対策を解説
技術的要因
技術的要因とは、情報を守るシステムの弱点が原因で、不正が容易に行える状態を指します。
- セキュリティ対策が不十分でパスワードが漏洩しやすい
- 重要な情報へのアクセス権限が適切に設定されていない
- アクセスや操作のログが記録されず、不正行為の検出や追跡ができない
これは「不正のトライアングル」における「機会」に直接的に関連し、内部不正のリスクを大きく高めることになります。そのため、技術的な弱点がないかを定期的にチェックし、常に最新の対策を講じることが不可欠です。
情報漏えいを防ぐための実践的な対策ポイント10選
ここでは、企業の情報を守るための効果的な内部不正対策として、すぐに始められる10個の対策ポイントを紹介します。自社の内部不正対策状況を確認し、次に何をすべきかを考えてみましょう。
☑ 特権IDの適切な管理
☑ USBメモリなどの外部記憶媒体から情報持ち出しの制限と媒体の使用ルールによる管理
① 特権IDの適切な管理
特権IDとは、システム全体に対して絶対的な権限を持つIDであり、特権アカウントとも呼ばれ、システムの設定変更や停止、データの改ざんなど、あらゆる操作が実行できます。特権IDが悪用されないように、割り当てる際には必ず認可プロセスを経るようにし、必要な操作に限定して利用を制限した上で、パスワードを適切に変更していくことが重要です。
経済産業省が定める「情報セキュリティ管理基準」に特権IDの管理プロセスが詳しく示されているため、こちらも合わせて参照されることをおすすめします。
② アクセス権限の最小化(最小権限の原則)
内部不正対策の基本として、従業員に業務遂行に必要最低限のアクセス権限のみを付与する「最小権限の原則」の徹底が挙げられます。必要な情報以外へのアクセスを物理的に不可能にすることで、不正行為や誤操作による情報漏えいのリスクを大幅に低減できます。
③ 操作ログの記録とモニタリング
内部不正を抑止し、万が一発生した場合に行動を追跡するためには、社内のあらゆるシステムにおける操作ログの記録とモニタリングの徹底が不可欠です。
操作ログは、内部不正対策における「見える化」の要であり、「誰が、いつ、どの情報にアクセスし、何をしたか」とログを詳細に記録し、定期的に監視する体制を構築することで、不正行為に対する心理的な抑止力が高まり、早期発見につながります。
④ 機械学習を活用した異常検知システムの導入
従来のルールベースの監視だけでは見つけにくい内部不正の予兆を捉えるために、UEBAなどの「機械学習を活用した異常検知システム」の導入が有効です。ユーザーや機器ごとの「普段の振る舞い」を自動で学習・モデル化し、ベースラインから逸脱した異常な行動を自動で検知・スコアリングすることで、内部不正の早期発見に役立ちます。
関連記事:UEBAとは?SIEM・EDRとの違いと振る舞い検知の重要性を解説
⑤ USBメモリなどの外部記憶媒体から情報持ち出しの制限と媒体の使用ルールによる管理
許可された特定の外部記憶媒体以外の使用を原則禁止し、セキュリティ機能付きUSBメモリの利用を推奨、印刷の制限やファイルの暗号化を強制する技術的対策は、情報漏洩のリスクを軽減する上で効果的です。
また、「私物のUSBメモリの業務PCへの接続禁止」「USBメモリをどのような場合に利用できるか」「利用する際の許可フロー」といった使用ルールを策定し、適切に管理する必要があります。
⑥ テレワーク環境下でのセキュリティリスク管理
テレワークの普及に伴い、情報管理の課題が複雑化しています。従業員の行動が見えにくくなる、私物デバイスの利用(BYOD)によるリスクが増大するといった課題に対し、以下の対策が挙げられます。
- IT資産の情報を一元管理する
- ファイルなどの持ち出し先デバイスの使用を制御する
- PCやUSBメモリに保存するデータを自動的に暗号化する
- 社外では必ず社内ネットワークを経由してインターネットを利用するように強制する
- 操作ログの記録や監視を行う
⑦ 内部不正防止ガイドラインの策定と見直し
組織として内部不正を許さないという明確な姿勢を示すため、情報資産の定義、アクセス権限の管理ルール、情報の私的利用や不正コピーなどの禁止事項、違反した場合の罰則などを明記した内部不正防止ガイドラインを策定しましょう。
また、作成したガイドラインは一度きりでなく、会社の状況や社会の変化に応じて、現場の従業員の意見も踏まえて定期的に見直しと更新を行い、常に実態に即した最新の状態を保つことが重要です。
⑧ 情報資産の重要性に応じた分類
組織内のすべての情報資産を適切に管理するためには、まず重要度を明確にすることが不可欠です。社内情報を「極秘」「秘」「社外秘」の3つに分類し、それぞれの重要度に応じてアクセス権限や保存場所、持ち出しルールを定めることで、情報漏えいのリスクを効果的に低減することができます。
⑨ 従業員への情報セキュリティ教育
従業員の情報セキュリティ意識を高めることは、強固なシステムを導入するのと同様に重要な内部不正対策です。具体的には、自社のセキュリティポリシーやインシデント発生時の報告ルートを周知徹底させる定期的な教育に加え、サプライチェーン全体のデジタルリスクを考慮し、委託先や外部利用者にも自社と同等のセキュリティ対策を求めることが不可欠です。
⑩ 退職者への情報管理対策
退職者からの情報漏えいリスクは特に高いため、以下の内部不正対策を徹底することが重要です。
- 顧客情報の取り扱いに関する誓約書を交わし、特に退職後の情報利用禁止や秘密保持義務の継続性を明記する
- 業務端末の返却に加え、クラウドアカウントのアクセス権停止や、データ削除を徹底する
- ファイルの暗号化やUSBポートの制限など、物理的な持ち出しを防ぐ仕組みを作る
- 不審な行動がないかPCの操作ログ(USBの使用状況やファイル転送履歴など)を確認する
▶ 事例から学ぶ、転職者による情報持ち出し特徴の資料を【無料】ダウンロード
内部脅威検知サービス(Internal Risk Intelligence)を活用した内部不正対策
内部不正対策においては、ツールの導入だけでなく、専門家の知見や支援を効果的に活用することが重要です。エルテスの「内部脅威検知サービス(Internal Risk Intelligence)」は、単なるツール提供に留まらず、専門アナリストのログ分析を通じて、企業内に潜む不正行為の予兆を早期かつ高精度で検知しています。
導入前には、対象企業の勤務体系や業務ルールを細かくヒアリングし、すべての企業に一律の基準を適用するのではなく、一社一社に合わせたカスタマイズされたリスク判断基準を作り上げています。1万パターン以上のリスクシナリオを基にシステムが自動で検知したリスク行動については、専門アナリストが企業の業務背景や役職、部門の特性と照らし合わせて再評価する体制を整え、特に注視すべきデータについては、必ず目視分析が行えるよう設計することも可能なため、ツールだけでは見過ごされがちな潜在的なリスクも逃さず、必要な情報だけを厳選し、精度の高い報告を実現しています。
導入企業の声|株式会社GRCS様
株式会社GRCS様は、リスクマネジメントを担う企業として数多くのセキュリティ製品を試してきましたが、内部脅威に弱みがあるという課題を抱えていました。従業員同士の監視による心理的負担を避けつつ、より効果的な内部不正対策を求めていた同社は、IPO準備を契機に当社の内部脅威検知サービスを導入されました。
導入後は、ログを分析する側の精神的な負担が軽減されただけでなく、従業員の振る舞いが「見える化」されたことで意識向上にも繋がりました。IPO審査では情報セキュリティに関する回答に説得力を持たせることができ、ISMS認証においては、内部脅威検知サービスのレポートを有効に活用することで、会社が策定したルールを全ての社員がどのように守っているかのチェック作業がとても容易になりました。
内部脅威検知サービスは、企業のセキュリティを守る仕組みであると同時に、ガバナンス強化や組織の成長基盤を支えるツールとしても活用され、企業の健全な成長に貢献しています。
▶ 内部脅威検知サービスWebポータル資料を【無料】ダウンロード
まとめ
IPAの調査結果が示すように、近年は企業の機密情報漏えいが深刻化しており、その主な原因は内部からの不正行為にあります。
このコラムでは、内部不正を未然に防ぎ、万が一の事態に備えるための10個の効果的な対策ポイントを紹介しました。ぜひこれらの対策を参考に、自社のセキュリティ体制を見直すきっかけにしてください。
企業の内部不正対策について、より詳しい情報が必要な方や、具体的な相談をご希望の方はこちらからお気軽にお問い合わせください。
内部不正対策のご相談は、エルテスへ
