米国の調査では、サイバー攻撃の1/4は内部者によるもの
「今回の不祥事はまったく青天の霹靂であり、社員はみな心を痛めています。しかしもう大丈夫です。同様のことを起こさないと社員全員から一筆もらっていますので」
これは特定の誰かの発言ではない。不正発覚後に経営者が言いがちなセリフを集約したものだ。良くも悪くも「不正を起こすような社員は(もう)いない」と信じ、必要な不正防止策を施さない。そしてまた不正が繰り返される。
米国における調査によると、サイバー攻撃の1/4は内部者によるものとある(日本では内部による不正の割合はこれより多いという見方もある)。内部不正は見過ごしてはならない問題だ。社員や関係者など人間を信じるだけではだめで、有効な対策を施す必要性がある。
デロイトトーマツサイバーセキュリティ先端研究所 主任研究員 白濱直哉氏は不正の三大要素を挙げた。不正が発生する背景には不正を働くきっかけ「動機」があり、不正が可能となる環境「機会」があり、不正者が不正を正当化する理由「正当化」が存在するという。
例えば経済状況の困窮や待遇への不満から「動機」がうまれ、権限管理や監視がずさんであるというような不用心な環境に「機会」があり、本人が「このくらいみんなやっている」「そもそもは会社の待遇が悪いのだから」と「正当化」してしまう心理があり、内部不正に至ってしまう。白濱氏は「不正のトライアングルを成立させない取り組みが必要です」と強調する。
白濱氏が示した内部不正対策チェックリストは以下の10項目。
■定義と責任の明確化
1. 重要情報の定義及びアクセス権限者が明確化され、管理に関するルールがあるか
2. 情報の責任者を明確にし、責任者はその責任を認識しているか
■重要情報の所在を明確にし、アクセス権限者を限定
3. 情報のライフサイクルや業務フロー、データフローが管理され、どこにどのような情報が残るのか把 握しているか(システムが利用するテンポラリ等を含む)
4. 重要情報が保存されたサーバー等へのアクセスが、許可されたもの以外から拒否されることを確認しているか
5. 重要情報へのアクセスを改竄ができない仕組みで記録し、トレースが可能な状態か
6. 退職者による不正を想定した退職プロセスが定義され、厳格に運用されているか
■情報の出口を押さえる
7. USBデバイス等、PCと物理的・論理的に接続できるものを把握し、媒体・情報の持ち出しを管理しているか
8. 重要情報が保存されたシステムが物理的に保護されているか
9. 相互監視やログ確認等により、牽制機能が働く環境になっているか
10.「動機」「正当化」を低減させるための教育等の施策を実施しているか
内部不正への取り組みはとても難しい。外部不正ほど行為そのものや定義が明確ではなく、実態を把握しづらいという特徴があるからだ。ここは内部不正に取り組むときにきちんと認識しておく大事なポイントとなる。外部犯行なら「一発アウト」となるような明確な攻撃となるのに対して、内部不正は見えないところでじわじわと進行する。またシステムで監視できるものとできないものがある。
