インターネットでのセキュリティの話をしてきました。
情報資産に損害を与える可能性がある脅威の種類については技術的脅威と人的脅威があるという事を話しました。
では、実際に被害についてはどちらの方が多いのでしょうか?
実は人的脅威による被害の方が技術的脅威による被害よりも件数が多いというデータがあります。もちろんそれは悪意を持って損害を与える事もありますし、故意ではなく損害を与えてしまうパターンもあります。
今回はその中で人が不正を起こす仕組みについて確認をしていきましょう!
目次
人的脅威の復習をしてみましょう!
人的脅威にはどの様な物があったでしょうか?
簡単に言えば『人が故意でも故意でなくても起こしてしまう脅威』の事ですね。
例えば
- 操作ミスによる情報漏洩
- 資料やUSBなどの置き忘れ、なくすなどによる情報の紛失
- 資料の破棄、操作ミスなどによるデータの破損
- 利用者になりすまして侵入する
と言った感じのものが当てはまりますね。
ある調査によると、報告されている年間で発生した情報資産の損害の内、70%くらいはこの人的脅威によるものというデータがあります。
人のミス以外にも内部で故意に漏洩させているケースも少なくありません。
こういった脅威から情報を守る仕組みが必要になる訳ですね。
人が不正を働くメカニズムを確認しよう!
内部による不正から情報資産を守る為に、どの様にして不正を働くのかの流れは覚えておいた方が良いですね。
攻撃者が攻撃をする、不正を働くにはいくつかの条件や状況が関係してきます。
それは
- 機会
- 動機
- 正当化
この3つになります。
これらを『不正のトライアングル』と言います。
3つの状況が作り出されると不正が起きやすくなると言われています。しかしどれか1つでも欠ければ不正は起きにくいとも言えます。
対策をする為には知っておいた方がよさそうですよね!
どういう内容なのか確認をしていきましょう!
【不正のトライアングル①】機会って?
ではまずは1つ目の『機会』についてです。
その名前の通り不正行為を行う機会があるかどうかという事ですよね。
ここでは『不正行為を実行する事が可能な環境、または簡単に不正行為が出来る状況』の事を指しています。
例えば
- 会社の資料を持ち出しが簡単になっている。持ち出してもチェックされない
- ロッカーに保管して施錠をしていても、鍵のある場所をみんなが知っている
- 情報の取り扱いを1人にやらせていて、他の人は状況を知らない
こんな状況が考えられますね。
誰も気にしなければ情報を盗んでも発覚されにくいので不正が起きてしまうという事になります。
決まった人にしか情報を操作させない様にする。何人かで管理をする。いつ誰が情報を使っているか分かる様にするなどの対策をしていく必要がありますね。
【不正のトライアングル②】動機って?
次は動機についてです。不正を働く人にも何かしらの理由が存在します。
動機が原因となり不正行為につながる事になる訳です。
不正を行う動機にはいろいろとあります。
- 個人的な借金など経済的に問題を抱えている
- ノルマに対して強くプレッシャーがある。達成出来なければ責められる
動機に関しては人それぞれですね。他の人から見れば理解出来ない事もあったりする訳ですが、本人次第のモノになりますので他の人は理解出来なくても仕方が無かったりします。
どうして不正がダメなのかを日ごろから確認する事などが必要になってきますね。
【不正のトライアングル③】正当化って?
最後は『正当化』についてです。
不正を働く環境や動機があったとしてもやっぱり『ダメなモノはダメ』という理性が働く事で不正の実行をしなかったりします。
どうして実行するのかというと『ダメな事はダメ』だけどそれを上回る『やってもいいという理由付け』が出来上がってしまうからです。
正当化の考え方としては
- 会社の待遇に不満。自分より仕事をしていない人が優遇されているから自分も優遇されてもいいから、このくらいの事はやってもいい
- 気付かれない内に後で返せばいいので今は借りておこう
- 他の従業員を守る為には仕方がない。その為にも自分がやらなければいけない
と言った事がありますね。
正当化については動機と同じ様に『他人から見て正しいかどうか』は関係なく、『自分自身が不正を働く事を許す理由』である事が重要だったりする訳です。そしてその理由には『自分じゃない他の人や環境に原因がある』という感じのものが多いですね。
しかし、こういった理由付けをしても『ダメなモノはダメ』という考え方が勝れば行動にはなりません。行動に移さない様に日ごろから話をしたりして行かなければいけませんね。
『情報セキュリティ対策』不正行為の仕組みを知ろう!|まとめ
今回はセキュリティ対策の前段階として、不正が起こるメカニズムについて紹介しました。
『不正のトライアングル』はITパスポートの試験範囲になります。
『機会』『動機』『正当化』の3つを覚えておきましょう。
またこれに関しては3つ揃わなければ大丈夫だったりします。
会社ではどれを揃わない様にするのかを考えて対策をしたりしますね。
対策の内容については別途紹介して行きますので参考にしてください。