第10回 組織内部にうごめく不正と犯罪の現実：会社を強くする経営者のためのセキュリティ講座（2/2 ページ）

[萩原栄幸，ITmedia]

煙に巻かれた不正行為の通報

　実際のケースを紹介しましょう。ある企業でシステム開発が行われ、その作業がピークを迎えてシステムエンジニアやプログラマーが休日出勤も厭わず作業をしていた時のことです。作業室とサーバルームとの間に長い廊下があり、その途中にトイレがありました。土曜日の深夜3時（日曜日の夜明け前）となれば、社内で出歩くような人はほとんどいません。

　ある担当者（Aさんとします）がトイレの前を偶然通りかかった時、急に女性トイレの中からドアが開く音がしたそうです。この時間に女性はいませんでした。Aさんは緊張しながら柱の陰で様子をうかがっていると、彼の上司であるX主任が出てきたといいます。廊下は照明があるので、Aさんはその顔をしっかり確認しました。表情や挙動を見ると、性的な興味によって何かしらの行為をしていたことは容易に推測できました。

　Aさんは相当に悩んだものの、やはり正義感や女性のために報告すべきだと考え、上司ではないものの、一緒に作業をしているY主任に報告しました。しかし1週間、1カ月が経過しても、X主任の行為に関する対応はとられていないようでした。Aさんが改めてY主任に質問したところ、「その件は、深夜の出来事だしA君の見間違いかもしれないね。Xさんが間違って中に入った可能性もある。目くじらを立てても仕方ないことだよ」と言われてしまいました。

　Y主任は被疑者であるX氏と友人であり、どうやらAさんが目撃した事実をX氏に話してしまったようです。X氏の態度が明らかに変化し、仕事をする上で大きな障害となりました。やむを得ずAさんは顧問弁護士に相談しました。顧問弁護士はことの重大性を把握し、会社に報告しました。X氏とY主任の双方に対して会社が処罰を下したのはいうまでもありません。

　実際には、このような現場の報告が会社に伝達され、それが事実と判明すれば、さまざまな作業が行われます。被疑者を告発するのか、懲戒免職などの処分にするのかといった対応を顧問弁護士と検討します。しかし、ここにも「会社が率先して事実を公表するか」という問題が存在します。

　少し前の時代であれば、その選択肢すらありませんでした。情報は関係者の中だけで固く守られ、極端な場合、隣の席に座る同僚にすら、その情報を知らされることはありません。現在でも「無用な混乱を招く」「部外者が知ればマイナスイメージとなり、業績に影響する」「彼（被疑者）の将来を考えると……」などの理由で公開しない企業も多数あります。

　私は情報を隠してしまうことに対して、非難するつもりはありません。「国民には知る権利がある」という意見も聞かれますが、情報を何でも公開してしまうことで、その企業の業績が急激に悪化し、倒産に至るような事態になってはいけません。

　大事なことは、こうした事態に直面した際に、さまざまな専門家で組織したチームが状況を分析し、「どこまで公表するのか」「どこが重要なのか」を検討することです。影響と対策を考え、株主代表訴訟に発展してしまわないようにする工夫も必要になる場合があるでしょう。対策を速やかに経営者に提示し、行動すべきです。経営者が独断で判断し、事実を“闇から闇”に葬りさろうとするなら、それは自ら墓穴を掘るのと同じようなものです。経営者は、必ず信頼できる相手と慎重に行動していくべきでしょう。

　私の経験から、内部犯罪で最も多いケースは「正当なアクセス権を持つ人物が正当な作業手順で不当にデータ収集を行う」というものです。システムによって完全に防ぐことは不可能であり、多少なりとも効果のある方法を二重、三重にもめぐらせて、全体を強化しなければなりません。つまり、ツールの導入や運用方法の改定、ファイルの暗号化などを実施し、内部の人間がこれらの対策を回避したとしても、データを不正にコピーしたこと――会社側から見ると「盗まれた」事実――が確実に分かる体制にします。

　中堅・中小企業の中には、「ログをとってるから安心」というところが少なくありません。しかし犯罪行為を発見できる体制にすることが重要であり、監視カメラの映像やシステムのログを正確に分析できなければ意味がないのです。特に内部犯行は、正当な権限を持った人物が関与する場合がありますので、その視点も考慮して仕組みを整えていく必要があります。

　最後に「内部犯罪の特殊性 7カ条」を紹介しましょう。

1. 正当なアクセス権を持った人間による犯罪であることが圧倒的に多い
2. ログを収集するだけでは意味がない（必ずログの内容を分析すべし）
3. 会社も個人も事実を隠したがるもの（十分に議論し、慎重に行動する）
4. 「うちの社員に悪人はいない」と妄信する経営者は危険
5. 継続は力なり。地道な啓蒙活動や教育が不可欠
6. 犯罪行為の真の原因を知る（「心の病」に気付き、対応できる会社を目指そう）
7. 世間が知る内部犯罪や情報漏えいは氷山の一角である

　繰り返しになりますが、内部不正や内部犯罪の大半は誰にも発見されずに行われています。疑心暗鬼になる必要はありませんが、経営者として静かに対応策を講じるべき時代が来ていると思います。

萩原栄幸

一般社団法人「情報セキュリティ相談センター」事務局長、社団法人コンピュータソフトウェア著作権協会技術顧問、ネット情報セキュリティ研究会相談役、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格した実績も持つ。

情報セキュリティに関する講演や執筆を精力的にこなし、一般企業へも顧問やコンサルタント（システムエンジニアおよび情報セキュリティ一般など多岐に渡る実践的指導で有名）として活躍中。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。

過去の連載記事一覧はこちらから

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック