IT用語帳

内部不正

Insider Threat

ないぶふせい

組織の従業員や関係者が意図的に情報の持ち出し、改ざん、破壊などを行う行為。不正のトライアングル(機会、動機、正当化)の3要素が揃うと発生しやすい。職務分掌、アクセスログ監視、退職時のアカウント無効化などで対策する。
人的管理脅威不正セキュリティ
情報及び情報システムの利用におけるセキュリティ対策の適用の推進又は支援に関すること > 人的管理

他の資格での定義

IP内部不正

組織の内部者(従業員、委託先など)が権限を悪用して情報の持ち出し、改ざん、破壊などを行う不正行為。外部攻撃よりも発見が難しい場合が多い。

SG内部不正

組織の内部者(従業員、委託先など)が権限を悪用して行う不正行為。情報の持ち出し、改ざん、破壊などが該当する。アクセス権限の適切な管理や監視、内部不正防止ガイドラインの整備が対策として重要。

関連キーワードの用語

SC脅威分析

システムに対する潜在的な脅威を体系的に特定・評価する手法。STRIDE分析やアタックツリーなどの手法を用いて、システムの企画・要件定義段階で脅威を洗い出し、セキュリティ要件の定義に反映する。

SCランサムウェア

感染したPCやサーバのファイルを暗号化したり、画面をロックして使用不能にし、復旧と引換えに身代金(ランサム)を要求するマルウェア。データのバックアップ、3-2-1ルール、イミュータブルバックアップなどが対策として重要。

SCセキュリティクリアランス

特定の機密情報にアクセスする資格を個人に付与する制度。身元調査に基づき、機密レベルに応じたアクセス権を与える。雇用時のスクリーニングや定期的な見直しを通じて、内部不正や情報漏洩のリスクを低減する。

SC不正のトライアングル

内部不正が発生するための3つの要因を示したモデル。機会(不正を行える環境)、動機(経済的困窮や不満など)、正当化(自分の行為を正当と思い込む心理)の3要素が揃うと不正が起こりやすくなる。

SCセキュリティ教育・訓練

従業員の情報セキュリティに関するリテラシー向上を目的とした教育・訓練活動。標的型メール訓練、eラーニング、ケーススタディなどを通じて、フィッシングの見分け方、インシデント発生時の報告手順、規程の遵守意識を醸成する。

IPダークウェブ

通常のブラウザや検索エンジンではアクセスできない、匿名性の高いネットワーク上のWebサイト群。Torなどの特殊なソフトウェアを使ってアクセスし、違法な取引にも悪用される。