2 内部及びアウトソーシング先にかかわる脅威
ネットワークを経由し外部からのセキュリティ侵害に対して、内部による不正行為をみると発生件数も多く、事態は極めて深刻であることがわかる。内部による情報システムヘの不正アクセス、許可された範囲を逸脱した情報へのアクセスによる不正な情報の取得は、情報の売買などの漏洩事件に結びつくものであり、その組織にとっては重大な信用失墜の危機につながるものである。
また、アウトソーシング(業務委託)先、あるいは派遣企業から派遣されたスタッフやアルバイトなどの協働者による不正アクセスや情報漏洩などについても、報道されるケースが増大している。このように、本来情報システムヘのアクセスを許可されている人が、その範囲を超えて起こすセキュリティ侵害は、ネットワーク化やオープン化された情報システム環境の詳細を知る人にとって、その行為を比較的やりやすいものにしている。
そこで本調査研究報告書では、最近の情報システム環境におけるセキュリティヘの脅威として、内部者、協働者による不正行為についても取り扱っていくこととする。
米国FBI/CSIの調査においても、不正アクセスの侵入経路が、インターネット経由と同等の割合で、内部からアタックを受けていることが明らかとなっている。
3 セキュリティ対策の現状
組織の情報システムを多種多様な脅威から守り、常に安全な状態で利用できるように保っていくためにとるべきセキュリティ対策については、関係省庁からその基準となるものが示されてきた。ここ数年間に改訂されたもの、新たに発行されたものとして、「情報システム安全対策基準」(平成7年改訂、通産省)、「情報システム安全対策指針」(平成9年改訂、警察庁)、「コンピュータ・ウイルス対策基準」(平成6年改訂・通産省)、「コンピュータ不正アクセス対策基準」(平成8年、通産省)などがある。これらの基準や指針は、ネットワーク化の進展やインターネット化が普及していく過程で策定されたものであり、オープン化された情報ネットワーク・システム環境に即したものとなっている。昨今のセキュリティ対策を支える情報技術の進展はめざましく、また、セキュリティヘの脅威も毎年新たなものが出現してくるため、具体的なセキュリティ技術や新たな脅威の実態を踏まえた上で、全体的なセキュリティ対策を講じていく必要がある。
