不正行為をさせない「倫理観」と「人材育成」：IT利用の不正対策マニュアル（1/3 ページ）

内部不正や内部犯罪をさせない環境を作るポイントとは何か。企業における「人材育成」の観点から探ります。

[萩原栄幸，ITmedia]

　インターネット上には、「不正防止」のためのたくさんの情報が公開されています。その多くは専用のシステムやソフトウェア、また、物理的な入退室管理システムや生体／ICカード認証といった「ツール」が主役です。しかし、今回はそのツールを扱う人間の「もろさ」に注目して、内部不正を防ぐ方法を考えてみましょう。

セキュリティシステムをダメにする運用

　わたしは仕事柄、数多くの企業のセキュリティシステムを見てきました。その中にはどう考えても、「ちょっと、それはないだろう……」と疑問を感じざるを得ないケースがありました。

大規模顧客データベースの管理システムにて

　ある企業のシステムでは、顧客情報を変更できる端末を物理的に限定しており、ほかの端末では絶対に操作できない設計になっていました。操作できる端末を利用するには、必ず社員証を兼ねたICカードを読み取り装置にかざして、権限者であることをシステムに認識させなければなりません。当然ながら、システムでその社員が顧客データベースを変更できる限られた人間かどうかを判断し、正当な権限者であれば許可します。

　しかし、わたしと情報システム管理者、コンサルタントで抜き打ち検査をしようとしたところ、何と端末に権限者である部長のICカードが置きっぱなしになっていたのです。本来は権限のない一般社員が操作をする際に部長のICカードを読み取り装置にかざして、作業をしていたのです。このシステムのセキュリティ対策は「机上」だけで設計されたのでしょう。規則を作成したのは、社内でも最も権力を持つ人事部でした。どの事業部門もこのルールでは運用が回らないと感じながら、苦情を申し立てることができなかったようです。それにしても、これではシステムに何億円も投資した意味がありません。

サーバ管理センターにて

　某中堅会社のサーバ状況を見学した時のことです。事前の説明では、サーバルームに向かうには、最初のドアで社員カードをかざし、その数メートル先にある第2のドアで指紋認証を行い、さらにその奥にある第3のドアでも指紋認証を行う仕組みだと聞いていました。当然ながら第3のドアを開くことができるのは、第2のドアの認証で許可された一部の人だけということになります。しかし、実際に現場に向かうと、第2のドアが開いたままになっていました。

　わたしが見学するので一時的に開けたままにしていたのかと思ったのですが、若手の社員に尋ねたところ、彼は笑いながら、「いえいえ、導入当初はこのドアが閉まっていることでいつも人の往来が滞ってしまい、仕事に大きな支障を来たしていたのです。今では開いたままになっています」と話しました。

最新鋭のセキュリティシステムにて

　新聞にも取り上げられるほどの、最新鋭のセキュリティ管理システムを見た時のことです。本当に素晴らしい設計がされ、システム監査上も問題ないと聞きました。その企業の役員から、「ぜひチェックしてみませんか。わが社の自慢のシステムですよ」と鼻高々で言われ、管理者と一緒に1日だけシステムの稼働を見ることにしました。

　経過は良好でしたが、1つだけシステムにある「VIPコード」という奇妙なものの存在が気になりました。聞いてみると、その企業では「VIPコード」を付与された人（社長以下、極めて限定された経営幹部）は、この管理システムで絶対的な権限を持ち、すべての社内システムのログ情報、人事ファイルなどの閲覧、変更、削除といった操作が何でもできてしまうものでした。しかも、その行為はログとして意図的に残さないことになっていたのです。

　通常では考えられない状況でしょう。このシステムの設計者は気がついていないのかもしれませんが、「VIPコード保持者は神様」という前提で運用することによって、このシステムははじめてこの企業の経営者から「素晴らしい」と認められるものだったのです。

　企業経営者の中には世間の常識を逸脱した考えの持ち主もいます。経営者が進路を誤ると、どんなに大きな企業でも倒産のような最悪の事態を招いてしまうかもしれません。経営者が不正行為をした際に、このシステムでどう発見、防止をすればいいのでしょうか。わたしにチェックを勧めた役員ですら、VIPコード自体を知らなかったのですから……。

　これらの事例は内部不正そのものではありませんが、内部不正が行われた場合にこれらの事例が大きな壁となって立ちはだかり、本来の被疑者の発見や緊急対応などの初動に大きく影響するものです。「不正を助長させるシステム」を作ってはいけません。