内部不正による情報漏えいを減らす方法は？：歴史的事件から考える（2/3 ページ）

[國谷武史，ITmedia]

事前には防げない

　デロイト トーマツ リスクサービス社長の丸山満彦氏は、内部不正が起こるメカニズムについて解説した。米国公認不正検査士協会が作成した「不正のトライアングル」では、内部不正は「動機／プレッシャー」「機会」「姿勢／正当化」の3つの条件が組み合わさると行われやすいとされている。

「不正のトライアングル」（丸山氏の講演資料より）

　対策ではこの3つの条件を困難にすることがポイントになるものの、企業や組織で講じられるのは実質的に「機会」の部分しかないという。この部分を軸に損害を抑えるための観点として、「予防」「検出」「回復」があるという。

　今回の事件のような権限を持つ人物による不正行為は、「検出」で対応する場合がほとんどになるという。検出の方法としては、例えばシステムやネットワークなどの様々なログ情報の相関関係を分析して、その結果が不正のパターンに当てはまれば、「不正」と特定する。同様の方法としては、持続型サイバー攻撃を検出する「SIEM（セキュリティインシデント・イベント管理）」がある。

　なお「予防」における手法としては、例えば権限を複数の人間に分割して付与し、必要な情報にアクセスするには必ず複数の人間を介在させるなどの仕組みがある。

　丸山氏は、こうした内部不正の対策を講じていくには、現場寄りではなく経営トップの意思決定で行うべきと提起する。対策の範囲が組織全体に及ぶためであり、組織全体に通用するセキュリティ対策を設計しなければならない。ただ、企業ではこうした観点でセキュリティ対策を設計できるノウハウを持った人材が圧倒的に不足している。

問題の切り分けができていない

　検察出身で弁護士の稲垣隆一氏は、まず内部不正による情報漏えいについて「過去から存在する側面」と「IT特有の側面」を明確に切り分けて十分に議論されていないと指摘する。

　過去から存在する側面とは、例えば、過去の戦争など権力者に権限が集中することで起きる行為であり、これを防ぐ目的で誕生した「三権分立」が対策の一つといえる。ITでもシステム権限などを複数の人間に分散させる対策が提唱されてきたが、本来の狙いは権限集中の弊害を排除する歴史的な経験則に基づく。しかし、現代においてはビジネスなどの効率化を理由に、特定の人物（あるいは組織）に権限が集中するようなシーンが珍しくない。

　「IT特有の側面」として稲垣氏は、今回の事件でも問題点とされた外部への業務委託や派遣制度を挙げた。企業が外部へ業務を委託する目的はコストの削減であり、派遣制度は専門的技能を有する人材の活用が本来の目的であるが、実態としては非正規雇用者を吸収する場になっている。

　今回の事件では当該企業子会社の業務委託先の派遣社員がデータベースへのアクセス権限を悪用した。対策ではこの2つの側面における本質や実情に照らして、それぞれを考えるべきであるといい、人間に関する対策には人的なアプローチを、技術に関する対策は技術的なアプローチが求められる。

内部不正対策のポイント（稲垣氏の講演資料より）

　ただ、対策を実際に講じていく過程で抑えるべきポイントは非常に広く、多くのリソースやコストが必要になってしまう。情報漏えいに伴う損害は莫大なものとなるだけに、今回の事件を契機に内部不正やITにおける様々な問題を、個別最適ではなく全体最適につながるように解決していくべきと提言した。