対象試験と出題頻度
この記事では、情報処理技術者試験で問われる「内部不正」について、IT初心者にもわかりやすく解説します。対象試験と出題頻度は以下のとおりです。
詳細をクリックして確認
ITパスポート
情報セキュリティマネジメント
基本情報技術者
応用情報技術者
★★★★★
ランクS(絶対に覚える必要あり)
用語の定義
内部不正(Insider Threat / Internal Fraud)とは、一言で言うと「組織に所属する人(または所属していた人)が、組織内部の情報を不正に持ち出し、流出、消去・破壊すること」です。
イメージとしては、「会社の鍵を持っている社員が、その立場を悪用して金庫から大切なものを持ち出す」ようなものです。
外部からのサイバー攻撃とは異なり、正規のアクセス権限を持つ内部者が行うため、検知が難しく、被害も甚大になりやすい特徴があります。顧客情報や営業秘密の流出は、企業の信用失墜や損害賠償、場合によっては経営の根幹を揺るがす事態に発展します。
📊 内部不正の主な行為
| 行為の種類 | 内容 |
|---|---|
| 情報の持ち出し | 顧客情報、営業秘密、技術情報などを無断で外部に持ち出す |
| 情報の流出・漏洩 | 機密情報を競合他社や第三者に提供・売却する |
| 情報の消去・破壊 | 重要なデータやシステムを意図的に削除・破壊する |
| 不正利用 | 業務上知り得た情報を私的利益のために悪用する |
解説
内部不正は、IPA(独立行政法人情報処理推進機構)が毎年発表する「情報セキュリティ10大脅威」において、10年連続で組織向け脅威にランクインしている深刻な問題です。
2025年版でも第4位にランクインしており、ランサムウェアや標的型攻撃と並ぶ重大な脅威として位置づけられています。
内部不正が起こる原因を理解するために重要なのが、「不正のトライアングル」という理論です。これはアメリカの犯罪学者ドナルド・R・クレッシーが提唱した理論で、不正行為は「動機」「機会」「正当化」の3つの要素が揃ったときに発生するとされています。
- 動機(Motivation):不正行為を行うきっかけとなる内的要因。金銭的な問題、会社への不満、転職先への手土産、上司からのプレッシャーなど。
- 機会(Opportunity):不正行為を実行できる状況・環境。アクセス権限の管理不備、監視体制の欠如、持ち出しが容易な環境など。
- 正当化(Rationalization):不正行為を自分の中で正当化する心理。「自分が作った資料だから持ち出しても問題ない」「会社の扱いが悪いから当然」など。
💡 なぜ内部不正は脅威なのか?
内部不正の最大の問題は、正規の権限を持つ人物による犯行であるため、外部攻撃に比べて検知が極めて困難な点です。ファイアウォールやウイルス対策ソフトでは防ぐことができません。
また、内部者は「どこに重要な情報があるか」「どうすれば監視を逃れられるか」を熟知しており、被害が大きくなりやすい特徴があります。
近年は雇用の流動化が進み、転職時に前職の機密情報を持ち出すケースや、退職者が在職中に仕込んだバックドアを使って不正アクセスするケースも増加しています。
実際に発生した事例として、大手通信会社の業務委託先社員が約596万件の顧客情報を不正に持ち出した事件、大手回転寿司チェーンの元役員が前職の営業秘密を持ち出して逮捕された事件、地方自治体の委託先社員が住民情報入りのUSBメモリを紛失した事件などがあります。
これらは「内部者」による不正行為が、いかに深刻な被害をもたらすかを示しています。
IPAは2013年に「組織における内部不正防止ガイドライン」を策定し、2022年に第5版を公開しています。このガイドラインでは、テレワークの普及や雇用の流動化といった環境変化を踏まえた対策が示されています。
内部不正防止の基本原則と対策
IPAのガイドラインでは、内部不正防止の5つの基本原則が示されています。この原則に基づいて対策を講じることが重要です。
- 犯行を難しくする(やりにくくする):アクセス権限の最小化、情報の持ち出し制限、USBメモリの使用禁止など、技術的・物理的な対策を強化します。
- 捕まるリスクを高める(やると見つかる):アクセスログの取得・監視、操作履歴の記録、定期的な監査により、不正行為が発覚するリスクを高めます。
- 犯行の見返りを減らす(割に合わない):情報の暗号化、DLP(Data Loss Prevention)の導入により、情報を持ち出しても価値がない・使えない状態にします。
- 犯行の誘因を減らす(その気にさせない):適切な人事評価、職場環境の改善、相談窓口の設置など、不満や動機を生まない組織づくりを行います。
- 犯罪の弁明をさせない(言い訳させない):セキュリティポリシーの周知、誓約書の取得、教育の実施により、「知らなかった」という言い訳を封じます。
具体的な対策としては、アクセス権限の適切な管理(特権ID管理)、ログの記録と監視、情報の格付けと取扱いルールの策定、退職時の情報持ち出し確認、従業員へのセキュリティ教育などが挙げられます。
⚠️ 実務でのポイント
内部不正は技術的対策だけでは防げません。「人」の問題であるため、組織的・人的な対策も重要です。
① 退職者管理:退職時のアカウント即時削除、情報持ち出し確認、秘密保持誓約書の取得
② 特権ID管理:システム管理者など特権を持つユーザーの操作を厳格に監視・記録
③ 職場環境の改善:不満や不正の動機を生まない、風通しの良い組織文化の醸成
④ 内部通報制度:不正の兆候を早期に発見するための通報窓口の設置
試験ではこう出る!
ITパスポート、情報セキュリティマネジメント、基本情報技術者、応用情報技術者のすべてで出題される超重要テーマです。以下のキーワードとセットで覚えましょう。
【重要キーワード】
- 組織内部者による情報の持ち出し・流出・破壊
- 不正のトライアングル(動機・機会・正当化)
- 情報セキュリティ10大脅威(組織編上位)
- アクセス権限の管理・最小権限の原則
- ログの取得と監視
- IPAの内部不正防止ガイドライン
- 退職者による情報持ち出し
試験問題で「従業員や元従業員が組織の機密情報を不正に持ち出す行為」や
「動機・機会・正当化の3要素が揃うと不正が発生しやすい」といった記述があれば、それは「内部不正」に関する記述です。
📊 不正のトライアングル(試験頻出)
| 要素 | 内容 | 対策の方向性 |
|---|---|---|
| 動機 | 金銭問題、会社への不満、転職先への手土産 | 職場環境改善、適正な評価 |
| 機会 | アクセス権限、監視の欠如、持ち出し可能な環境 | 権限管理、ログ監視、物理的制限 |
| 正当化 | 「自分が作った」「会社が悪い」という自己弁護 | 教育、ルール周知、誓約書 |
📝 IPA試験での出題ポイント
内部不正は「情報セキュリティ10大脅威」で10年連続ランクインしている超重要テーマです。特に「不正のトライアングル」は頻出で、3つの要素(動機・機会・正当化)を正確に覚えておきましょう。
また、内部不正防止の5つの基本原則や、対策として「アクセス権限管理」「ログ監視」「退職者管理」などが問われることもあります。外部攻撃との違い(内部者は正規権限を持つ)も理解しておくと、選択肢を絞りやすくなります。
【確認テスト】理解度チェック
ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。
Q. 内部不正が発生する要因を説明した「不正のトライアングル」の3つの要素として、最も適切なものはどれでしょうか?
- A. 機密性・完全性・可用性
- B. 脅威・脆弱性・資産
- C. 動機・機会・正当化
正解と解説を見る
正解:C
解説:
「不正のトライアングル」は、アメリカの犯罪学者ドナルド・R・クレッシーが提唱した理論で、不正行為は「動機(Motivation)」「機会(Opportunity)」「正当化(Rationalization)」の3つの要素が揃ったときに発生するとされています。動機は不正を行うきっかけ(金銭問題、不満など)、機会は不正を実行できる環境(権限、監視の欠如など)、正当化は不正を自己弁護する心理(「会社が悪い」など)を指します。内部不正対策では、この3要素のいずれかを取り除くことが重要です。
選択肢Aの「機密性・完全性・可用性」は情報セキュリティの3要素(CIA)です。選択肢Bの「脅威・脆弱性・資産」はリスク分析の要素であり、いずれも不正のトライアングルとは異なります。
