今月からは、企業内部の人的脅威について取り上げます。情報セキュリティーにおける人的脅威には、意図的なものと非意図的なものがあります。まず今回は人的脅威の中でも意図的脅威である「内部不正」です。内部不正の代表的なものには、「知的財産の窃盗」「システム悪用」などがあります。「知的財産の窃盗」は、多くの場合は金銭などを自分の利益にしようという目的で顧客情報や知的財産情報などを盗み出す不正行為です。「システム悪用」は、金銭的な目的のほか、自分のキャリアや諜報活動が目的で、システム権限を悪用するなどして業務上知り得た情報を手に入れようとするものです。

これらへの対策を行うためには、不正行為がなぜ起こるか、どのようなものかを知らなければなりません。そのための理論が「不正のトライアングル」です。この理論では、不正行為は「動機・プレッシャー」「機会」「正当化」の三つの不正リスクの要素が、すべてそろった時に発生すると定義されています。

「動機・プレッシャー」とは、不正行為を実行する主観的事情であり、自分の希望をかなえたり、悩みを解決したりするためには「不正行為を実行するしかない」と考えるに至った心情のことです。例えば「大きな借金を抱え、その返済に追われて苦しんでいる」「業務での心理的な負担が大きく解放されたい」などが、これに当たるでしょう。

「機会」とは、不正行為の実行を可能ないし容易にする客観的環境のことで、不正行為をやろうと思えば、いつでもできるような職場環境や体制のことです。例えば「一人の担当者に権限が集中している」「上司によるチェックが形骸化している」（中身をろくに確認せず判子を押すだけという状況）などが、これに該当するでしょう。

「正当化」とは、自らの不正行為の実行を是認しようとする主観的事情のことで、「誰でもある程度の不正行為や違反はしているから、これぐらいは許されるはずだ」「盗んだのではなく、一時的に借りただけであり、いずれ返すつもりだった」などの心情がこれに当たります。

これら三つの要素をそろえさせないためには、まず摘発されるリスクを高める（不正行為がやりづらい、やると見つかる）ことです。アクセスログや入退室記録の監視、複数人での作業環境、監視カメラや警備システムの導入などで管理や監視を強化することが対策として有効です。次に、不正行為の正当化理由を排除し、犯罪の弁明をさせない（言い訳をさせない）ことです。そのためには、何が不正行為に当たるのか、ルールを明確にし、コンプライアンス教育による周知徹底により順守事項を認知、理解させることが重要です。