【問189】個人情報保護士 練習問題|情報セキュリティの脅威の概要
情報セキュリティ 問9/120難易度A(易しい)
問題文
内部不正による情報漏えいに関する次の記述のうち、最も不適切なものはどれか。
- 1.内部不正には、現職の従業員だけでなく退職者や委託先の関係者によるものも含まれる
- 2.内部不正の動機には、金銭目的、怨恨、転職先への手土産などがある
- 3.内部不正を完全に防止するためには、技術的対策のみで十分であり、組織的・人的対策は不要である
- 4.内部不正の防止には、アクセスログの監視や最小権限の原則の適用が有効である
解説
正解
正解は選択肢3です。
各選択肢の解説
選択肢1 → ✅適切
内部不正は現職従業員に限らず、退職者による顧客情報の持ち出しや、委託先関係者による不正アクセスなど、組織内部にアクセス可能な関係者すべてが対象です。
選択肢2 → ✅適切
内部不正の動機は多様であり、金銭目的の情報売却、職場への不満からの報復、転職先への情報持ち出しなどが典型例です。
選択肢3 → ❌不適切
内部不正の防止には、技術的対策(アクセス制御、ログ監視)だけでなく、組織的対策(規程の整備、内部通報制度)や人的対策(教育、職場環境の改善)を組み合わせた総合的なアプローチが必要です。
選択肢4 → ✅適切
アクセスログの監視は不正行為の早期発見に有効であり、最小権限の原則(必要最低限のアクセス権限のみを付与)は不正行為の機会を減らす効果があります。
背景知識
内部不正による情報漏えいはIPAの情報セキュリティ10大脅威において組織向け脅威として常に上位にランクインしています。IPAが公開する「組織における内部不正防止ガイドライン」では、技術的対策に加えて職場環境の整備や教育の重要性が強調されています。特に不正のトライアングル(動機・機会・正当化)の観点から、不正を起こさせない環境づくりが求められています。
学習アドバイス
内部不正対策は「技術的・組織的・人的」の3つの側面から総合的に取り組む必要があるという点を押さえましょう。IPAの内部不正防止ガイドラインも確認しておくとよいでしょう。
まとめ
- 内部不正は現職従業員、退職者、委託先関係者が対象
- 技術的・組織的・人的対策の組み合わせが不可欠
- 不正のトライアングル(動機・機会・正当化)の視点が重要