内部不正行為を防ぐための10カ条:IT利用の不正対策マニュアル(2/2 ページ)
不正リスク対策の5つのポイント
「公認不正検査士協会」(ACFE)の資料によれば、不正リスクの対策は次の5つになります。
1:防止→不正リスク要因をできる限り除去する
2:抑止→教育、評価・懲戒制度、相互けん制などにより不正行為を思いとどまらせる
3:発見→日常業務におけるチェックや監査などのモニタリング、内部通報制度などのリスク情報伝達機能の強化により、不正の兆候を積極的に検知する
4:調査→不正の兆候を検知した場合に人間の心理や不正の手口、法的リスクの理解などに基づき慎重に事実関係を確認する
5:損失回復、再発防止→判明した事実関係に基づき当事者、関係者を厳正に処分し、損失回復に努める。改善状況を継続的にモニタリングする
実際に作業を担当している人であれば、これらの作業はケースバイケースで行われ、100社あれば100通りの対策が存在するとご理解いただけるでしょう。なるべく経験の豊富な情報セキュリティコンサルタントなどの専門家と共同歩調し、自社のセキュリティ対策を少ない費用で大きな効果を生むためにどうすべきかという点を徹底的に議論して、実践していくことが最も重要です。悩んで立ち止まっている間に内部犯罪が深く静かに進行し、気付いたときにはもう手遅れだった、となっては絶対にいけません。
不正対策の10カ条
最後に、先ほどのACFEの資料にわたしなりの考えを加味して、不正の対策を紹介します。
1:「不正のトライアングル」と無縁な人間はいないと心得るべし→本連載の第2回で取り上げた「不正のトライアングル」(「動機・プレッシャー」「機会の認識」「正当化」の中で、どれか1つでも欠けていれば不正は発生しない)という考えです。逆にこの3つが同時に出現しないように心掛けていなければ、不正が起きる確率が極めて高まります。そこに例外はありません。
2:自らの組織における不正リスクを熟知せよ→これは前述したように5つのポイントを良く検討し、リスクを定性的、定量的に分析して自らの弱点を知っておくことが肝要であるということです。
3:不正の問題にふたをせず、その重大性を社内で共有する→今までの日本の企業は、内部犯罪の99%を密かに自社で処理し、関係者には口止めをしてきたと思います。しかし、往々にして同じ様な犯罪が繰り返されがちです。必ずその情報をきちんと処理し、将来に生かすべきです。
4:「未然防止(抑止)」と「発見」を対策の両輪にする→何か発見があれば、事例に基づいて再発しないようにするための作業があります。発見だけでは、後手になってしまいます。
5:既存のルールの意義を理解し、周知徹底を図る→なぜ現在までに社内にこういう規則ができたのか、そこには必ず歴史やそれまでに至った先人の考えがあります。啓蒙活動や全体教育を通じてこの規則の「心」を伝えることが極めて重要です。
6:信頼せよ、されど放任するな(確認を怠らない)→これは前回も紹介しましたが、経営者にとって信頼できる人はある意味で一番「怖い容疑者」になり得るものです。信用しているからこそ、きちんと確認をすべきでしょう。ワンマン経営者ほど陥りやすい点です。
7:「ミスをするな」ではなく「ミスを隠すな」を徹底する→時々、ミスが発見されると鬼の様に叱責する経営者、管理者がいますが、これはいけません。このような態度が続くと、従業員はミスを「隠す」ようになってしまいます。「人はミスをするもの」と考え、ミスを責める前にその事実を正しく報告したら逆に褒めることで、社内のモラルは向上していきます。
8:「不正は必ず発覚し、処罰される」という認識を高める→これは重要で、だからこそ教育があるのですが、それでは不十分な場合も多いのです。退職者には必ずPCのフォレンジック調査を行う(例外は絶対に認めない)などと理解させ、どう隠ぺいしても無駄であるという認識を持たせることが極めて重要です。
9:「何かがおかしい」という感覚、周囲の声を大切にする→「自分の直感に耳を傾けなさい。何かがおかしいと感じたら実際にそうなっていることが多いのです」と、米国での大規模な経営破たん事件として有名になったWorldcomの内部監査人が話しています。自分のポリシーを厳守し、立場をきちんと貫けるなら、内部の不正を嗅ぎ取ることも可能です。
10:整備・運用状況の継続的な再評価と改善を図る→一度良い体制や仕組みを構築しても、その後の保守を怠ればあっという間に「元の木阿弥」となります。PDCAサイクルがうまく回るように、継続して作業を実施するよう心掛けるべきです。
萩原栄幸
株式会社ピーシーキッド上席研究員、一般社団法人「情報セキュリティ相談センター」事務局長、コンピュータソフトウェア著作権協会技術顧問、日本セキュリティ・マネジメント学会理事、ネット情報セキュリティ研究会技術調査部長、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格した実績も持つ。
情報セキュリティに関する講演や執筆を精力的にこなし、情報セキュリティに悩む個人や企業からの相談を受ける「情報セキュリティ110番」を運営。「個人情報はこうして盗まれる」(KK ベストセラーズ)や「デジタル・フォレンジック辞典」(日科技連出版)など著書多数。
過去の連載記事一覧はこちらから
企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック
関連記事
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 「欧州 AI法」がついに成立 罰金「50億円超」を回避するためのポイントは?
- 「プロセスマイニング」が社内システムのポテンシャルを引き出す理由
- 「SAPのUXをガラッと変える」 AIアシスタントJouleの全体像とは?
- “生成AI依存”が問題になり始めている 活用できないどころか顧客離れになるかも?
- 日本企業は従業員を“信頼しすぎ”? 情報漏えいのリスクと現状をProofpointが調査
- 検出回避を狙う攻撃者の動きは加速、防御者がやるべきことは Mandiantが調査を公開
ITmediaはアイティメディア株式会社の登録商標です。