不正のトライアングル〜内部不正の原因と対策
私が今学習中の『IPA情報セキュリティマネジメント試験』ですが、前回の記事で具体的な脅威と脆弱性について書きました。
今回も『情報セキュリティマネジメント』について覚えたことをみなさんに紹介していけたら良いなと思っています。みなさんの頭の中でふんわりイメージが浮かぶと嬉しいです。
安心してインターネットを使うために、『情報セキュリティマネジメント』を少しでも身近に感じて頂ければ幸いです。
不正のメカニズム
情報資産に対する脅威は、災害などによる物理的なものや、マルウェアなどによる技術的なものの他に、内部不正による人的なものがあります。
内部不正を起こさないためには、機会(不正を簡単に行える環境)を作らないことが特に大切なようです。
米国の犯罪学者であるドナルド・レイ・クレッシーが提唱している”不正のトライアングル理論”では、人が法律などの規範に従わない不正行為を実行するまでには、次の三つの不正リスク(不正リスクの3要素)が揃う必要があると考えられています。学習を進めていくと、攻撃者の心理が見えてきます。
機会
不正行為の実行が可能、または容易となる環境のことです。例えば、情報システム管理者に権限が集中していたり、不正行為をしても気づかれず、チェックが働かない状況が挙げられます。
動機
不正行為を行うための事情のことです。例えば、借金があったり、給料が不当に低い状況などが挙げられます。
正当化
不正行為を行うために、悪い事と分かっていても罪悪感(良心の呵責[りょうしんのかしゃく])で苦しまないように、その気持を乗り越える理由を考えることです。例えば、盗むのではなく借りるだけとか、攻撃する標的が古いシステムを使っているからいけない(攻撃の対象となるのはしょうがない)、などと自分に言い訳することが挙げられます。
この不正のトライアングル理論を見ていると、ニュースで見る犯罪や、簡単なミスにも繋がる考え方だな。と納得します。
社内で新しいプロジェクトがスタートする時や、新しいサービスを導入する場合は運用の仕方をよく検討する必要があると思いました。
この理論を考慮して犯罪を予防する考え方の一つに、英国で提唱された状況的犯罪予防論があるそうです。状況的犯罪予防論は、次の5つの観点から犯罪予防の手法を整理しています。
1、物理的にやりにくい状況を作る
2、やると見つかる状況を作る
3、やっても割に合わない状況を作る
4、その気にさせない状況を作る
5、言い訳を許さない状況を作る
他にも犯罪が生じる理論として、いつもの日常の中でありふれた人物によって犯行が行われる日常活動理論があります。また、割れた窓などの軽微な不正や犯罪を放置することによって、より大きな不正や犯罪が誘発されるという割れ窓理論などもあるそうです。
こういった犯罪が生じる理論や犯罪予防論を学習していくと、不正行為が行われる前にしっかりと準備・対策したおいた方が良いなと感じます。
具体的には、情報資産へのアクセスは担当者だけが行えるようにしたり、サービスの管理画面は1人だけではなく、複数人で閲覧できる体制を整えたりすることが必要だと思います。
※このブログ記事は、「情報セキュリティマネジメント教科書」を引用しています。
徹底攻略 情報セキュリティマネジメント教科書
株式会社わくわくスタディワールド 瀬戸美月/齋藤健一 著
「情報セキュリティマネジメント」は奥が深くて大変そうですが、IT資産の利用はセキュリティ投資とセットで考えていくことがとても重要だと思います。できることで良いので少しずつ対策を取って行けたらと思います。
弊社には「情報処理安全確保支援士(略して:登録セキスペ)」が在籍しています。
『情報セキュリティ』についてお困りの方は、弊社までお問い合わせください。
ご連絡お待ちしております。
Web制作ならアズシエルにご相談ください。
Web制作パートナーとしてサイトの企画からデザイン、運用まで支援します!Webサイト制作についてはこちらからサービスをご確認ください!
この記事をSNSでシェアする!
