内部不正を防ぐ委託先管理と物理セキュリティ：セキュリティ強化塾（4/5 ページ）

[キーマンズネット]

5カテゴリー、25分類の内部不正対策

　以上が不正実行の3大動機と主な対応策だ。それ以外にも内部不正の発生可能性を低減する方策はいろいろある。

　IPAが公表した「IPA テクニカルウォッチ 組織の内部不正防止への取り組み」では、制御可能な環境を作り出すための対策（状況的犯罪予防策）を紹介する。不正防止対策を「犯行を難しくする」「捕まるリスクを高める」「犯行の見返りを減らす」「犯行の挑発を減らす」「釈明させない」という5つのカテゴリー、25分類に整理し、それぞれの対策をコンパクトにまとめたものだ。対策を考える際に参考になる（表1）。

表1 状況的犯罪予防の5カテゴリー、25分類とその対策（IPA）

　表1に見る通り、ITシステムとは別ジャンルの物理セキュリティも内部不正対策には重要だ。入退室管理システムと連動したオートロックドア、セキュリティロッカー、PCやIT機器へのセキュリティロック（持ち出し防止のための固定具）装備、監視カメラなどの設備がセキュリティポリシーに外れる従業員の行動を抑止する効果がある。

物理セキュリティを整備する

　入退室管理システムと監視カメラは大事な役割を果たす。入退室管理システムは、業務時間外の特定作業場所（サーバルームなど）への立ち入りを制限するとともに監視と記録を行い、その場所での作業時間、滞留時間をシステムの操作ログ、アクセスログと突き合わせて不正行為の発見に役立てられる。従業員が携行するICカード（社員証兼用など）を利用して、権限のない従業員は入室できないようにするのも大切な役割だ。

　監視カメラは、LANを利用して映像を監視システムに転送し、人によるリアルタイム監視や映像記録を行うネットワークカメラシステムが利用しやすい。人の動きのセンシングにより映像記録がスタート／ストップできる機能なども備え、合理的に記録し、効率的に閲覧して問題行動を発見できる。

　物品の持ち出しには、RFIDタグを用いた管理システムも有効だ。持ち出しを制限する物品にRFIDタグを付けておけば、持ち出し禁止物品を出入口のセンサー付きゲートで検知してアラート発報ができる他、棚からの資料持ち出しを検知して棚に戻されるまでの時間などの記録もできる。PC盗難や紙の資料持ち出しを防止するのに有効な対策となる。