組織に潜む内部犯罪を考える（中編） 内部対策と外部対策の微妙な関係：萩原栄幸の情報セキュリティ相談室（1/2 ページ）

企業や組織における脅威への備えは、「内部」か「外部」かで考えられることが多い。そのアプローチは本当に正しいのだろうか。

[萩原栄幸，ITmedia]

　前回は、バス会社で発覚した運転手の内部不正について会社側の対応事例を紹介した（ベストな対応とは言えないが結果的には良い方向に収まった）。今回は中編として、こうした脅威への対策における基本的な考え方について述べたい。

内部犯罪の考え方

　筆者は20年以上にわたって組織における内部不正や内部犯罪への対応にあたってきた、その経験から、企業や組織などのセミナーでは「統計資料はほとんど役に立たない。なぜなら内部犯罪の大半は表面化せずに対応されてしまうからだ」とお伝えしている。

　情報セキュリティを含めたこの種の犯罪を「内部脅威」と「外部脅威」に分けた場合、実は明らかに内部脅威の方が多い。感覚ではあるが、その割合は「内部：外部」とした場合、「7：3」か「8：2」といった状況だろう。統計には表れない事実である。統計に表れる前に企業として（結果的に）隠蔽されてしまう性質が極めて強いからである。

　しかし、企業や組織の情報セキュリティ対策でよくみられるのは、サイバー攻撃のような外部脅威に重点が置かれ、その対策費用は上述とは真逆の比重になっていることだ。経営者の視点としては外部脅威の方が目立つため、リソース（人・物・金）を外部脅威対策の方に費やす傾向にある。

　過去にも何度か指摘しているが、本来取り組むべき対策の勘所としては、以下の点を考えるべきだろう。

1. 例えば宅配業者や清掃員、販売員、納入業者などについて、「外部」か「内部」かによって、論理的な防御層とその行動規範が根本的に異なる
2. 米国の例ではコンビニエンスストアにおける問題として、万引き被害よりもアルバイト従業員による窃盗が深刻だと考えられている。防犯カメラは内部の従業員に向けて設置している方が多い店舗もある。それは製造業や金融業など他の業種でも同様
3. 内部統制がきちんと管理されている企業は外部攻撃への耐性も強力であり、総体的に被害が少ない。「ヒューマンコントロール」はセキュリティにとって基本中の基本である

　そうした観点で言えるのは、まず「信頼している」ことと「チェックしている」ことは、別物であることだ。日本人はよく「信頼しているからチェックもしない、監査もしない」というが、これは論理的に破綻している。「信頼しているからこそ、その信頼を将来的にも担保するためにチェックをする」というのが正常ではないだろうか。

　また経営者や創業者の中には、方針と行動との間にバランスを欠く方もいる。自分たちの創業理念や基本概念について社員をきちんと教育し、実践状況でチェックした上で「この人は内部の人間である」と認めて、一人で店番させる。万一の場合は経営者が全て責任を負うというのなら筋が通る。だが現実には、ほとんど教育もしないで店の中で社員を一人きりにし、監視もしない場合が多い。それで問題が起きるのでは博打行為のようなものではないだろうか。

　「机上の空論」と思われるかもしれないが、筆者はこれが基本だと考えている。なお、経営者やオーナーがそういう認識や危機感を持って、社員に「全てを委ねる」なら、それはそれで「あり」だと思う。オーナーや経営者はその店の内部では「神様」なのだ。それも現実である。