企業ではさまざまなサイバーセキュリティ対策を講じていますが、その多くはインターネットや社外からのサイバー攻撃に対するものです。しかし、情報処理推進機構（IPA）が発表した2020年の組織における脅威ランキング^（※）では「内部不正による情報漏えい」は2位にランクインしており（19年は5位）、いまだ対策が不十分であることがうかがえます。今回は、そのような内部不正への対策方法について解説します。

■ はじめに

これまでも企業では、「情報へのアクセス制限」「ファイル暗号化」「USBメモリへのデータ書出禁止」のようなシステムの利用制限やe-ラーニング等によるセキュリティ教育などの対策を実施してきたと思います。しかし、従業員向けの過度なセキュリティ対策は生産性や利便性とトレードオフの関係にあることから、さらなる対策強化には消極的になり、結果として従業員のセキュリティモラルに委ねる状況にある企業も少なくありません。

■ 内部不正の「機会」を低減する

内部不正はどのようにして発生するのでしょうか。米国の組織犯罪研究者ドナルド・R・クレッシーによると、内部不正は「動機・プレッシャー」「機会」「正当化」の3つの要素で構成される「不正のトライアングル」が成立したときに発生するとされています。

• 動機、プレッシャー＝不正に至るきっかけ、原因（処遇への不満、業務ノルマ、金銭問題など）
• 機会＝不正を可能・容易にする環境（秘密裏に情報へアクセスでき、持ち出し可能な環境など）
• 正当化＝自分勝手な理由づけ、倫理観の欠如（「正当に評価されていないから」など）

セキュリティ対策は、これら3つの要素のうち「機会」を低減する役割を果たし、トライアングルの成立を阻止します。

内部不正へのセキュリティ対策を講じる際は、システムの利用制限や操作ログの監視を強化するだけではなく、従業員に対して、実際に発生した不正事例をできる限り具体的に公表することが重要となります。また公表の方法としては、例えば「従業員用の通用口や食堂にセキュリティかわら版として掲載する」「イントラネットのトップページに掲載する」というように、全従業員の目に触れるよう工夫します。

これにより、「不正行為は必ず見つかってしまう」「常に見られている」という抑止効果が向上するだけでなく、従業員同士で不正行為に気づきあえる監視の目を養うことにもつながり、結果として内部不正の「機会」を低減させることが可能になります。

連載「押忍！サイバーセキュリティ経営道場！！」はこちら