DocuTracker 電子帳簿保存法対応

ナレッジ

ナレッジ データ改ざん関連

データ改ざんはなぜ起こる?要因とそれぞれの対策方法について解説



Webサイトの改ざんや製品の品質データ不正、会計不正などの「データ改ざん」のリスクは、ほとんどの企業が抱えています。データ改ざんの事実が公表されると企業の信頼を大きく失墜させるため、不正は未然に防がなければなりません。この記事ではデータ改ざんが起こる要因と、対策についてご紹介します。


データ改ざんは大きく2種類に分かれる

データ改ざんは、外部からの攻撃によるものと、内部不正によるものの2種類に分かれます。ここでは2種類のデータ改ざんについて、その概要を説明していきます。


①外部からのサイバー攻撃によるデータ改ざん

外部からの攻撃によるデータ改ざんの例としては、Webサイトの改ざんなどが挙げられます。改ざんの具体的な被害の例は、次の通りです。


<Webサイト改ざん被害の例>

  • ・Webサイトに訪問した人を違法なサイトに飛ばすようコードを勝手に変更される
  • ・アクセス設定を意図しない状態に変更される
  • ・Webサイトに無関係の画像やメッセージが表示される
  • ・Webサイトに保存していた個人情報が盗み取られる
  • ・Webサイトを訪問した人がウイルスに感染する

②内部の人間によるデータ改ざん

もうひとつは、内部の人間が不正にデータを改ざんするケースです。取引先への報告書や業務で利用する資料、会計処理において決算関係書類や各種帳簿の記載を書き換えることなどが内部不正に該当します。


【外部からの攻撃】WebサイトやWebアプリケーションの改ざんの手口


続いて、データ改ざんの具体的な手口について解説していきます。



システムの脆弱性を突いたサイバー攻撃

情報システムやネットワークの脆弱性を突いたサイバー攻撃の代表的な手口は以下の通りです。


  • ①SQLインジェクション
    顧客データや販売データなどを保管する「データベース」を操作するための言語であるSQLを悪用した手口です。Webサイトのフォームなどに不正な動作をするSQLを入力して送信し、データの不正取得や改ざんを行います。

  • ②クロスサイト・スクリプティング(XSS)
    Webサイトの脆弱性を突いて、HTMLに不正なJavaScriptなどの悪質なスクリプトを埋め込む手口です。攻撃によってサイト訪問者のWebブラウザに偽のページを表示させ、パスワードなどのユーザーのログイン情報を盗みます。

  • ③ゼロデイ攻撃
    OSやソフトウェアなどに存在する脆弱性のうち、発見されて間もない新しい脆弱性を悪用し、修正プログラムが作成・適用される前に攻撃を行うものです。ゼロデイ攻撃への対策は基本的にOSやソフトウェアの開発元による修正プログラムの展開を待つ以外になく、その間に被害が大きくなる可能性があります。

  • ④クロスサイト・リクエスト・フォージェリ(CSRF)
    Webアプリケーションのセッション管理の脆弱性を悪用した攻撃です。ユーザーのログイン後のセッションIDを利用して第三者がそのユーザーになりすまし、ユーザー本人の意図しない不正な動作を行います。

管理者アカウントの不正利用

流出した管理者アカウントが不正利用されるケースもあります。組織のメールアカウントが乗っ取られると、組織から大量のスパムメールが送信される恐れがあります。また、Webサイトの管理者アカウントが乗っ取られるとシステム内の全ての操作が可能となるため、機密情報の流出や、情報をロックして金銭を要求する恐喝行為が起こることなどが考えられます。


電子書類の保管履歴の証明や改正電帳法対応に。DocuTracker、詳しくはこちら ≫

【外部からの攻撃】データの改ざんを未然に防ぐには?


WebサイトやWebアプリケーションの改ざんが行われると、最悪の場合Webサイトを閉鎖しなければならなくなります。また、サイバー攻撃によってデータの改ざんや情報漏洩が発覚すれば、Webサイトを運用する企業の社会的信用は失墜し、企業全体の利益が減少することも起こり得るでしょう。データの改ざんを未然に防ぐためには、次のような対策が必要です。



ID・パスワードの管理を徹底

大前提としてID・パスワードを厳重に管理し、外部に漏らさないようにしなければなりません。管理者権限を持たない人にID・パスワードを伝えないのはもちろんのこと、管理者権限でログインしている状態でPCから離れる際にはPCをスリープ状態にする、モニターの電源を切っておく、というように他の人に見られないための工夫も必要です。

また、IDやパスワードを複数のサービスで使い回すのも危険です。悪意ある第三者が他のサービスで手に入れたID・パスワードを使って社内システムへのログインを試みる可能性もあります。パスワードは推測されにくく、メモなどがなくても自分で覚えていられるものを設定するようにしましょう。

なお、パスワードは定期的に変更する必要はありません。定期的に変更すると、慣れからパスワードがより簡易な文字列になったり、推測しやすくなったりする恐れがあるためです。ただ、情報システムに攻撃された形跡がある場合には、サーバーやネットワーク機器のパスワードを速やかに変更する必要があります。


セキュリティアップデートの実施

セキュリティソフトウェアの導入と、OSやソフトウェア、ネットワーク機器のミドルウェアの定期的なアップデートは必ず行いたい対策です。サイバー攻撃は、OSやソフトウェア、ネットワーク機器の脆弱性を狙って行われます。近年発生しているランサムウェアによるサイバー攻撃では、同じネットワーク機器の脆弱性を突いたケースが複数見られました。古いバージョンでは脆弱性に対応できないため、アップデートを必ず行うように社内で徹底しましょう。


無線LANやWi-Fiを利用する際の暗号化

無線LANやWi-Fiを利用する場合には、通信の暗号化が推奨されます。暗号化されていないフリーのWi-Fiを利用する行為は非常に危険です。PCに保存されている会社の機密情報が漏洩してしまう恐れもあります。

情報の内容を秘匿するためにも、アクセスポイントとPCの間の通信を暗号化された無線LANを利用するようにしましょう。通信の暗号化には暗号化キーが必要で、アクセスポイントに設定されているキーを知っているものだけが通信の内容を見られるため、関係者のみで情報共有ができます。


【内部不正】なぜデータの改ざんをしてしまうのか?


ここまで、外部からの攻撃の具体的な手口とその対策について紹介してきました。続いて内部不正によるデータ改ざんについて解説していきます。そもそも、なぜ内部の人間によるデータ改ざんが起きてしまうのでしょうか。組織内部の人間がデータの改ざんを行う心理として知っておきたいのが、「不正のトライアングル」です。



不正のトライアングルを理解しよう

「不正のトライアングル」とは、アメリカの犯罪学者ドナルド・R・クレッシー氏によって提唱された、不正行為を犯してしまう心理的な要因を分析した理論です。不正のトライアングルでは、不正行為の要因として「機会」「動機・モチベーション」「正当化」という3つの要素を挙げています。


  • ①機会
    1つ目の「機会」は、不正を行うための手段や環境がそろっている状態です。不正を働こうと考えた際に監視カメラや上司の目がなく、情報システムの機密情報に簡単にアクセスできる、といった状況であれば、容易に行動に移せてしまいます。

  • ②動機・プレッシャー
    不正のトライアングルの2つ目は、動機やプレッシャーです。「金銭的に困っていて不正行為で金銭を得たい」「嫌な上司に一泡吹かせたい」「ライバルを排除したい」といった動機が不正行為を起こさせる要因になりえます。また、仕事上の目標数値や締め切りなどに追われてプレッシャーから逃れたいという意思が、不正行為につながることもあります。

  • ③正当化
    3つ目は自分にとって都合の良い理由をつける、不正行為の正当化です。「他の人もしているから」「会社がやれと言ったから」「自分も不当な扱いを受けているから」というような理由をつけると、不正行為は「やっても良いこと」のように思えてしまいます。

【内部不正】データ改ざんを未然に防ぐには?


では、具体的に内部の人間によるデータ改ざんを防ぐためにはどういった対策が必要なのでしょうか。

不正のトライアングルに基づく防止策を講じる

まず、不正のトライアングルの3要素「機会」「動機・モチベーション」「正当化」を軽減する策を講じることが必要です。それぞれの要因に対する具体的な防止策の例としては、以下のようなものが挙げられます。


①「機会」を低減する

  • <例1:アクセス権の管理>
    管理者に相当する権限を持たない人に、簡単に管理者権限を与えないようにします。不正行為の難易度を高くすることで、不正行為の機会を減らすことが狙いです。

  • <例2:ログの記録>
    操作ログを記録し、そのことを周知します。ログが記録されていることにより、関係者に「不正行為が見つかるかもしれない」という意識を持たせることができます。

②「動機・モチベーション」を排除する

  • <例1:風通しの良い職場を作る>
    上司や同僚との人間関係が悪いと、内部不正をはじめとする不正行為への遠因になりえます。コミュニケーションが活発な職場だと、不健全な対立関係を生まずに済むでしょう。定期的に1on1を実施するなどして、組織内の不満をいち早くキャッチできるようにすることが重要です。

  • <例2:労働環境の整備>
    重要な業務が1人に集中していると、負荷が高く、また周囲からのプレッシャーも大きくなります。業務負荷がかかりすぎないよう労働環境を整備することが、動機の排除につながります。

③「正当化」を阻止する

  • <例1:コンプライアンス教育の強化>
    内部不正の言い訳をさせないために、従業員全員に法令遵守の意識を持ってもらうことが肝要です。経営層も含めた組織全体にコンプライアンス教育を定期的に行い、会社全体で「データ改ざんは絶対にしてはいけない」という雰囲気が醸成される環境を作りましょう。

  • <例2:内部通報制度の整備>
    内部不正が発生した場合に利用できる内部通報制度を整備し、不正の予兆を見逃さないようにします。制度の設置にあたっては、通報者の匿名性を確保することが重要です。

データが改ざんされていないことを証明する仕組みを導入する

また、「機会」や「動機」を低減するためには、データの改ざんができないシステムづくりも欠かせません。

データ改ざんを防ぐシステムとしておすすめしたいのが、「DocuTracker」です。DocuTrackerは、Google ドライブやMicrosoft OneDrive、Dropbox、Boxといったクラウドストレージサービスに保存されたファイルに、自動的にタイムスタンプを付与することができるサービスです。タイムスタンプに加え、ファイルを識別する値である「ファイルハッシュ」もブロックチェーンに保存されるため、ファイルが変更されていないことの証明になります。

また、紙の見積書や請求書、領収書のスキャンファイルや、メールやECの記録をPDF化したデータも利用できます。気軽に導入できるため、不正のトライアングルに対する抑止力として、検討してみてはいかがでしょうか。なお、こちらのページでは、DocuTrackerの特徴や料金プランについて詳しく解説しています。
DocuTrackerについて興味をお持ちの方は弊社までお気軽にご相談ください。