不正のトライアングルに対処せよ 身内の"情報持ち出し"を疑わない仕組みづくりのポイントは

テレワークシフトが進む一方で、元従業員による情報の持ち出しといった内部不正が深刻な問題になっている。ラックの飯田浩司氏が、内部不正が発生するメカニズムと身内を疑わずに済む仕組みづくりのポイントを語った。

[吉田育代，ITmedia]

　テレワークやハイブリッドワークといった場所を選ばない働き方が普及した半面、従業員に管理の目が行き届かなくなったことなどから内部不正のリスクが高まっている。

　情報処理推進機構が発表した「情報セキュリティ10大脅威 2021」では「テレワーク等のニューノーマルな働き方を狙った攻撃」「内部不正による情報漏えい」「不注意による情報漏えい等の被害」と、内部に起因する課題が3つピックアップされている。新しい働き方を推進する上で、これらの対処は企業にとって喫緊の課題だ。では身内を疑わずに済む、適切な内部不正対策を講じるにはどうすればいいのか。

　本稿は、アイティメディア主催のオンラインセミナー「ITmedia Security Week 2022春」（2022年2月28日〜3月7日）の「特権ID管理」をテーマにした、ラックの飯田浩司氏（サイバーセキュリティサービス統括部JSOC　副センター長）による基調講演「ハイブリッドワーク時代の内部不正対策を考える〜身内を疑わない環境づくりのポイントは〜」の様子をレポートする。

併せて読みたい関連記事

• “会社のために”セキュリティポリシーを破る従業員　内部不正はなぜ起こるのか？
• 内部関係者によるインシデント、5割は過失、3割弱は内部犯罪者に起因　自由な働き方が“隠れみの”に
• 「日本で運用すれば大丈夫？」　相次ぐ内部不正事例から学ぶ、根本的な対策

ニューノーマル時代で高まる内部脅威　4つのポイントとは？

　場所やデバイスを選ばない働き方は生産性向上につながる半面、内部不正リスクの増加も招いている。オンラインのデータは持ち出しやすく、紙で何百ページに及ぶ文書が小さなメモリ1枚に格納できてしまう。また、オフィス以外の場所で一人で働くことで管理の目が届きにくく、不正行為がしやすい環境になっている。

　こうした状況ではどのような内部脅威が起こりやすいのか。飯田氏は「テレワークなどのニューノーマルな働き方を悪用した脅威」「内部不正による情報漏えい」「退職者や転職者による在籍時の情報持ち出し」「不注意による（意図しない）情報漏えい」という4つのポイントを挙げる。

ラック　飯田浩司氏

　「ニューノーマルな働き方が進み『誰も見ておらず、自分の端末でいろいろなことができるから、やってみよう』と従業員が考えたり、何らかの事情で外部に情報を持ち出したりといったことが起こり得ます。オフィスではクロスチェックができましたが、テレワークなどで一人での作業が増え、不注意による情報漏えいも発生しています」（飯田氏）

内部不正対策を実現するには“不正のトライアングル”を解消せよ

　飯田氏は、米国の犯罪学者、社会学者のドナルド・クレッシー氏の“不正のトライアングル理論”を引用して内部不正が発生する3つの要因を解説した。

不正のトライアングル理論（出典：飯田氏の講演資料から抜粋）

　「1つ目は『動機・プレッシャー』で従業員が不正を働くに至るまでの事情を指します。“長引くコロナ禍で不況になって収入が減った”“会社を辞めようかと考えている”などの理由が一例として挙げられます。2つ目は『機会』で、不正行為を可能にする機会や環境の存在です。3つ目の『正当化』は不正行為への言い訳です。『皆がしているから』『自分だけではない』といったように、自分を納得させるために考えつく身勝手な理由です。適切な内部不正対策は、これらの要因を解決することで実現できます」（飯田氏）