日商 Assist Biz

更新

企業を襲うサイバー脅威 企業内部の人的脅威①「内部不正」

不正のトライアングル

今月からは、企業内部の人的脅威について取り上げます。情報セキュリティーにおける人的脅威には、意図的なものと非意図的なものがあります。まず今回は人的脅威の中でも意図的脅威である「内部不正」です。内部不正の代表的なものには、「知的財産の窃盗」「システム悪用」などがあります。「知的財産の窃盗」は、多くの場合は金銭などを自分の利益にしようという目的で顧客情報や知的財産情報などを盗み出す不正行為です。「システム悪用」は、金銭的な目的のほか、自分のキャリアや諜報活動が目的で、システム権限を悪用するなどして業務上知り得た情報を手に入れようとするものです。

これらへの対策を行うためには、不正行為がなぜ起こるか、どのようなものかを知らなければなりません。そのための理論が「不正のトライアングル」です。この理論では、不正行為は「動機・プレッシャー」「機会」「正当化」の三つの不正リスクの要素が、すべてそろった時に発生すると定義されています。

「動機・プレッシャー」とは、不正行為を実行する主観的事情であり、自分の希望をかなえたり、悩みを解決したりするためには「不正行為を実行するしかない」と考えるに至った心情のことです。例えば「大きな借金を抱え、その返済に追われて苦しんでいる」「業務での心理的な負担が大きく解放されたい」などが、これに当たるでしょう。

「機会」とは、不正行為の実行を可能ないし容易にする客観的環境のことで、不正行為をやろうと思えば、いつでもできるような職場環境や体制のことです。例えば「一人の担当者に権限が集中している」「上司によるチェックが形骸化している」(中身をろくに確認せず判子を押すだけという状況)などが、これに該当するでしょう。

「正当化」とは、自らの不正行為の実行を是認しようとする主観的事情のことで、「誰でもある程度の不正行為や違反はしているから、これぐらいは許されるはずだ」「盗んだのではなく、一時的に借りただけであり、いずれ返すつもりだった」などの心情がこれに当たります。

これら三つの要素をそろえさせないためには、まず摘発されるリスクを高める(不正行為がやりづらい、やると見つかる)ことです。アクセスログや入退室記録の監視、複数人での作業環境、監視カメラや警備システムの導入などで管理や監視を強化することが対策として有効です。次に、不正行為の正当化理由を排除し、犯罪の弁明をさせない(言い訳をさせない)ことです。そのためには、何が不正行為に当たるのか、ルールを明確にし、コンプライアンス教育による周知徹底により順守事項を認知、理解させることが重要です。

長谷川長一(はせがわ・ちょういち) ソフトバンク、日本ユニシスを経て、株式会社ラックに入社。情報セキュリティ業界の先駆者として知られる同社で現在は、主にセキュリティ人材育成業務を担当している。『IT現場のセキュリティ対策完全ガイド』(日経BP社)『情報セキュリティプロフェッショナル教科書』(アスキーメディアワークス、共著)など著書多数

次の記事

長谷川長一

今回は人的脅威の中の“意図的脅威”である情報セキュリティー上の「ルール違反」について取りあげます。「ルール違反」は、前回取り上げた「内部不正」と比較すると、軽いものと…

前の記事

長谷川長一

偽情報は「デマ」などと呼ばれ、以前からさまざまな事実とは異なる情報により多くの人々がだまされてきました。近年はインターネットで個人が情報を発信できるようになり、イン…

関連記事

長谷川長一

今回は人的脅威の中の非意図的なもの、「ヒューマンエラー」について取りあげます。「ヒューマンエラー」には、「誤操作」「設定ミス」「紛失・置き忘れ」「盗難」などがありま…

長谷川長一

今月は、クラウドサービス利用時のリスクについて説明します。クラウドサービスは、ここ数年で急速に普及しました。インターネットに接続できる環境があれば、利用する機器や場…

長谷川長一

USBメモリーやSDカード、ポータブルハードディスクドライブなどの媒体や機器は、軽量かつ小型で持ち運びに非常に便利です。これらのデータが保存できる容量は年々大規模になり…