情報セキュリティ講座(5)　不正のメカニズム

情報セキュリティにおいて、内部犯罪は見落とすことができません。組織外部の攻撃者より、組織内部の犯罪の方が、頻度も被害も大きいといえます。これは、情報セキュリティに限ったことではなく、企業が保有する資産全般に言えることです。

不正のトライアングルという理論を、米国の犯罪学者である、クラッシー博士が提唱しています。内部の不正リスクは、次の3要素があるというものです。

1. 機会
   不正を行うことができる環境がある、ということです。例えば、容易に社内の機密情報にアクセスできるような環境です。
2. 動機
   不正を行う者に、その行う動機があるということです。借金が多いとか、断れない人から頼まれた、というよな環境です。
3. 正当化
   不正を行う者に、良心の呵責を乗り越える、言い訳の口実が見つかることです。そもそもセキュリティが甘いのは会社の問題だ、などと責任転嫁を図るなどです。

情報セキュリティを考える際に、内部犯罪は最も考慮すべき点です。不正のメカニズムを理解し、適切な対応を行うことが重要です。