情報セキュリティ講座(5) 不正のメカニズム
情報セキュリティにおいて、内部犯罪は見落とすことができません。組織外部の攻撃者より、組織内部の犯罪の方が、頻度も被害も大きいといえます。これは、情報セキュリティに限ったことではなく、企業が保有する資産全般に言えることです。
不正のトライアングルという理論を、米国の犯罪学者である、クラッシー博士が提唱しています。内部の不正リスクは、次の3要素があるというものです。
- 機会
不正を行うことができる環境がある、ということです。例えば、容易に社内の機密情報にアクセスできるような環境です。 - 動機
不正を行う者に、その行う動機があるということです。借金が多いとか、断れない人から頼まれた、というよな環境です。 - 正当化
不正を行う者に、良心の呵責を乗り越える、言い訳の口実が見つかることです。そもそもセキュリティが甘いのは会社の問題だ、などと責任転嫁を図るなどです。
情報セキュリティを考える際に、内部犯罪は最も考慮すべき点です。不正のメカニズムを理解し、適切な対応を行うことが重要です。