組織に潜む内部犯罪を考える（後編） 内部犯罪の2つのパターンと対策：萩原栄幸の情報セキュリティ相談室（2/2 ページ）

[萩原栄幸，ITmedia]

内部犯罪の対策・その2

　もう1つの「振る舞い防御」は、実装がとても難しい。しかし、そのアイデアはすばらしいもので、何と「犯罪予備軍」のレベルでその人間を特定できてしまう。つまり、実際に犯行が行われる前にその兆候を検知できてしまう。

　例えば、金融機関の内部の人間がお客様のところに出向き、入金や小切手、奥さんのヘソクリ（夫に内緒で口座を作るなど）を預かった。ところが、こっそり自分の投機資金に流用したとしよう。金融機関によって下記の流れは大きく異なるが、「振る舞い防御」では次のような点に注目する。

1.支店以外の口座で休眠口座を照会し、過去数年間に資金の移動が無い口座を探る（支店や母店以外の「休眠口座」の照会を何度も行う。時間は早朝か深夜が多い）

↓

2.適当な口座を見つけたら、そこに100円を入金し、100円を出金する

↓

3.その口座の異動明細を照会し、印字する

↓

4.数日後、異動口座明細表にその口座が出ているかを確認する

↓

5.発覚しなければ次の仕込みを行う

　上記の作業自体はいずれも「正当な業務行動の範囲内」である。しかし、これらの行為を一気通貫で繰り返していたら間違いなく「レッドカード」か、少なくとも「イエローカード」にあたるものだ。

　昔のシステムでは行員個人の単位と切り口に、こういう動きを調べることができなかった。それを可能にし、しかも自動的に検知するシステムを導入すれば、すぐに「アブナイ行員」がクローズアップされる。しかも、犯罪を行う前の準備段階の時点で分かる。要するに、「この行員は近い将来に不正を行う可能性が極めて高い」という段階でその人間を把握し、行動に及ばないようにさせる防御である。

　理屈は簡単だが、これをシステム化するとなると難しい。一つひとつの行動に「しきい値」を設け、しかも「●という行動＋▲という行動」が同時の場合は、しきい値に達していなくても「イエローカードとみなす」といった条件設定も必要になる。実際の犯罪行為の分析とそれを業務の行動につなげるのが難しい。

　現在はパッケージソフトとしても販売している業者もある。犯罪が想定されるテーブルのしきい値を個別の金融機関によって変更できれば、システムとしては7割方完成だろう。

　卑劣な内部犯罪を防御するために、現在では上述した切り口以外にも、別の切り口で防衛策を講じるものも多い。それぞれに長所と短所があり、自社に最適な防御策をぜひ構築していただきたいものである。

---

　前回も触れたが、実は企業全体の犯罪防御において、「内部」や「外部」と切り口を分けることはあまり意味がない。実際、内部統制を地道に強化している企業では、内部犯罪はもちろん、外部からの犯罪も少ない。情報セキュリティはシステム投資や設備投資にはない「ヒューマンインタフェース」「ヒューマンコントロール」が最も大事であり、会社を動かしている従業員の教育、モラルアップ、経営者への尊敬など「心の問題」での解決で強化されるところが最も多いのである。

萩原栄幸

日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。

組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。