本当に怖い内部不正による情報漏洩。情報セキュリティ『不正のトライアングル』とは。

2018-10-29

皆さま、こんにちは！

中小企業を狙ったサイバー攻撃が当たり前になって久しいですが、それに併せて中小企業が予算をかけて情報セキュリティ対策を施すこともまた当たり前になっています。弊社もUTMやNASの導入だけでなく、ネットワークの構築から任せていただく機会が非常に増えております。

セキュリティ対策が強固になっている企業の増加は非常に好ましいことですが、どれだけ対策をしても防ぎきることが難しいセキュリティインシデントも存在します。その1つが、内部不正による情報漏洩です。

情報セキュリティのツールの中には、組織内の端末や人員の動きやステータスを管理できるものも存在します。これらを活用すれば、いわゆる不注意による情報漏洩のリスクはかなり低減できます。

しかしながら、『意図的に』情報を外部に不正な形で持ち出そう、という動きを制御することは簡単ではありません。

このような不正を抑制するには、『不正のトライアングル』という概念を理解しておくことが好ましいです。これは、『機会』『動機』『正当化』の3つが揃ったときにはじめて不正が為される、という考え方です。

この内、『機会』に関しては、組織内で情報資産を活用して業務にあたっている限り、ほとんど全ての従業員に不正をやろうと思えばできてしまう『機会』があると言えます。もちろんこの『機会』を減らす手法も多数存在しますが、その解説は次回に譲りたいと思います。

今回は残りの『動機』と『正当化』のうち、『正当化』をさせないための簡単な手法の1つを案内します。それはごくシンプルなことで、「経費の精算を徹底させる」ということです。

これは、たとえ10円1円単位であってもです。

些細な交通費や備品の購入などは、従業員側も逐一会社に報告や稟議申請が面倒という理由で個人負担してしまうケースが存在しますが、これが後々火種になってしまう可能性があります。

人間というのはとかく自分に都合よく考えがちです。組織に強要されたわけでもなく、自分が面倒という理由で勝手に経費を負担したにも関わらず、「自分は会社に色々と貸しがある」「我慢してやっている」などという発想に転換してしまうのです。

実際に全ての経費を報告させることができないとしても、経費の申請は業務の一部だということを定期的に組織内で発信しておくべきです。経費を申請しないことは「組織への貸し」ではなく「単なる怠慢」だと強く意識づけておきましょう。

情報セキュリティを構築するにあたって、社員教育は環境構築と同じくらい重要です。
弊社では出張型の勉強会も適宜開催しております。ご興味があれば是非ともお気軽にお問い合わせください。