회사는 다양한 사이버 보안 조치를 구현하며, 대부분은 인터넷과 회사 외부의 사이버 공격에 대항합니다. 그러나 IPA (Information Technology Promotion Agency)는 2020 년 조직 순위를 발표했습니다.(※)"내부 사기로 인한 정보 유출"은 2 위 (2019 년 5 위)로, 측정 값이 여전히 충분하지 않음을 나타냅니다. 이번에는 그러한 내부 사기를 다루는 방법을 설명 할 것입니다.
■ 소개
회사는 "정보에 대한 액세스 제한", "파일 암호화"및 "USB 메모리에 대한 데이터 작성 금지"및 전자 학습을 통한 보안 교육과 같은 시스템 사용에 대한 제한과 같은 조치를 구현했다고 생각합니다. 그러나 직원을 대상으로 한 과도한 보안 조치는 생산성과 편의성으로 상충 관계이므로 많은 회사가 추가 조치를 강화하기를 꺼려하고 있으며, 그 결과 많은 회사가 직원의 보안 도덕에 맡겨집니다.
■ 내부 사기의 "기회"감소
내부 사기는 어떻게 발생합니까? 미국 조직 범죄 연구원 인 Donald R. Cressy에 따르면, "동기 부여와 압력", "기회"및 "정당화"라는 세 가지 요소로 구성된 "사기의 삼각형"이 확립 될 때 내부 사기가 발생합니다.
- 동기 부여, 압력 = 트리거 및 사기 원인 (치료에 대한 불만, 사업 할당량, 재무 문제 등)
- 기회 = 사기를 가능하게하고 촉진하는 환경 (정보에 비밀리에 액세스 할 수있는 환경)
- 정당화 = 이기적인 추론, 윤리 부족 (예 : "정당하게 가치가 없기 때문에")
보안 조치는이 세 가지 요소의 "기회"를 줄이는 데 역할을하여 삼각형이 확립되는 것을 방지합니다.
내부 사기에 대한 보안 조치를 구현할 때는 시스템 사용을 제한하고 운영 로그 모니터링을 강화하는 것이 중요 할뿐만 아니라 가능한 한 직원에게 발생하는 실제 사기 사건을 게시하는 것이 중요합니다. 또한, 출판 방법은 "직원 사무실 또는 식당에 보안판으로 게시"또는 "인트라넷 홈페이지에 게시"와 같은 모든 직원에게 볼 수 있도록 설계되었습니다.
이것은 "사기가 항상 발견된다"와 "항상 볼 수있다"는 억제 효과를 향상시킬뿐만 아니라 직원들이 사기를 인식 할 수있는 감시 눈을 배양하여 내부 사기의 "기회"를 줄입니다.
* 출처 : IPA "10 훌륭한 정보 보안 위협 2020"
https : //www.ipa.go.jp/security/vuln/10threats2020.html