内部不正を防ぐ委託先管理と物理セキュリティ：セキュリティ強化塾（3/5 ページ）

[キーマンズネット]

内部不正の発生を予防するための対策

　まず、内部不正の芽をつむ策を考えたい。不正行為への衝動を抑えるための抑止策と、強制的に不正行為を禁止するための防止策の両面で考える必要がある。以下に示すのは内部不正の「3大動機」とそれをなくすための対策の例だ。

情報の換金への意欲を削ぐ

　不正の動機として一番に挙げられるのは、情報が換金できるかどうかだ。個人情報保護法施行以来、子どもの年齢、氏名、住所などの情報が入手しにくくなったため、B社が保有するような生きた個人情報は高値がつく可能性が高かった。多額の借金を抱えていたといわれるMが売却を考えたのにはそんな状況が影響していたのだろう。

　出どころを確認せずに名簿業者が売買に応じたことや、情報売買のアンダーグラウンドマーケット（主に海外）の存在などを見れば、希少価値がある情報や活用して利益が出る情報には値が付く可能性が高い。

　個人情報保護法で守られているはずの日本でも法の網にかからずに売買が行われた実態を見れば、換金可能性をなくすためのさらなる法規制と順守徹底のための監視機能が求められる。しかし、一企業による状況改善には限界がある。

　情報の換金で得られる利益よりも不正行為が発覚した場合の懲罰による不利益の方が大きいことを知らしめた上、不正行為の監視を強めることが効果的だろう。

会社への不満を解消する

　次の動機として、会社への不満が挙げられる。トラブルを起こして解雇された退職者などは、会社に損害を与えることを目的に不正をはたらく誘惑に駆られやすい。そうでなくとも自分が追及されることがないと確信できれば、勤務先の情報を金銭的見返りがなくとも腹いせに流出させる可能性がある。

　根本的対策は、職場環境の改善、昇進や昇格の条件、給与体系などの透明性、公平性を高めることなどが挙げられる。また、自分が追及されないと考えるのは、操作ログやアクセスログが取られておらず、実際の現場での目撃者や監視者がいない場合だ。ログ管理や複数人での相互監視が可能な作業環境を作り出すことを考えたい。

不正実行の機会をなくす

　B社の場合、Mが業務用PCからスマートフォンに情報がコピーできると分かったことが、不正行為に向けて背中を押す要因になったようだ。運用管理を行う現場に私物スマートフォンが持ち込める状況にあったこと、そして、データ転送機能を強制的に禁止できなかったことが不正行為を誘った。

　そもそも運用管理用PCでスマートフォンを利用することなど考慮していない企業が多いだろう。現実のデバイス利用状況に即してデバイス制御の方法を見直す必要がある。デバイス制御自体はIT資産管理ツールやActive Directoryのデバイス制御機能などによれば難しくはない。

　また申請から承認のワークフローが適切に運用されていない環境、1人で誰にも見られない状況で作業できる環境、ログが取られていない状態でPC操作や資料閲覧ができる環境、プリンタに出力紙が放置されがちなルーズな職場環境などは、不正を実行する心理的障壁を低くしがちだ。

　ワークフロー機能は、専用ツールやグループウェアなどで利便性のよいシステムが低コストで実現可能だし、最近のプリンタや複合機にはプリント放置を防ぐ認証プリント機能が備わる機種が多い。現実の運用に乗せるのに時間と手間はかかるが、すぐに着手できる対策といえる。

　1人にならない作業場所の確保は、場所だけの問題でなく、常に2人以上が同一の場所で作業するためのシフトを考える必要もあるので難しいかもしれない。場合によっては監視カメラによる監視または映像記録を、相互監視の代替とすることも考えたい。

　ログの取得は、その事実の周知だけでも心理的な不正抑止効果がある。しかし解析や監査が頻繁に行えるようでなければ事後対応、情報漏えい原因の追究だけになり、不正防止効果は限定的だ。統合ログ管理ツールなどの機能を利用し、迅速な解析、願わくばリアルタイム解析による異常操作発生時点でのアラート発報を行う仕組みを作ることが望ましい。