叡智の三猿

三猿×情報セキュリティ×はてな で発信します。

不正のトライアングル(機会編)

不正のトライアングル

不正行為が行われる条件は「機会」「動機」「正当化」の3つの要因がそろったときです。これを「不正のトライアングル理論」と言います。逆に言えばこの3つのうちひとつでも要因が欠ければ不正は行われないということです。組織の管理をする上で、不正の要因を発生させる原因を把握し、その対策をうつことは重要です。

f:id:slowtrain2013:20200330195011p:plain
不正のトライアングル

「機会」の原因と対策

それでは、不正行為の「機会」を起こしてしまう原因と対策について考えてみます。

「機会」は不正が発生する可能性のある状況を指しています。「機会」が発生しやすい組織には次のような例があると考えられます。

  • 内部統制が機能していなく、人に依存した業務が行われている。
  • ワークフローに基づく申請、承認のルールが整備されていない。
  • 業務規程、ガイドラインが実務に追いついていない。

内部統制についてはこちらの動画で聴きやすく分かりやすい説明がされています。
youtu.be

内部統制の例についてですが、例えば、下記の図ように営業係Aさんは、請求データの入力と請求書発行を行い、営業部長Bさんは、請求データの承認をする役割とします。この場合、営業係Aさんは自ら入力した請求データの承認が出来ないように制御することが望まれます。これをアクセス制御と言います。

f:id:slowtrain2013:20200331190108p:plain
アクセス制御の例(ロールベース)
アクセス制御が機能してないと、Aさんは自分で請求データを入力し、自分で請求データを承認し、それを自分で発行出来るかもしれません。これでは、Aさんに不正行為をする「機会」を組織が与えていることになります。業務フローを整備し、役割に応じた権限を与える内部統制の実現は、セキュリティ対策上とても大切なことです。

ISMS情報セキュリティマネジメントシステム

不正の「機会」を減らすには、情報セキュリティを確保する為の技術的、設備的、人的な側面からマネジメントする活動が必要です。これをISMS情報セキュリティマネジメントシステムと呼びます。ISMSPDCAサイクルにそって、情報セキュリティの継続的な改善を進めます。

f:id:slowtrain2013:20200331193217p:plain
ISMSPDCAサイクル
このISMSに従った、国際規格が「ISO/IEC 27000シリーズ」です。特にISO/IEC 27001は汎用的な情報セキュリティの基準として多くの企業が取得しています。ISOを取得することにより、情報セキュリティリスクの「機会」を低減すると共に、社員の情報セキュリティ意識の向上、コンプライアンスに基づく業務効率化の推進に役に立つでしょう。

規 格 説 明
ISO/IEC 27000 情報セキュリティマネジメントシステム(用語)
ISO/IEC 27001 情報セキュリティマネジメントシステム(要求事項)
ISO/IEC 27002 情報セキュリティ管理策の実践のための規範
ISO/IEC 27014 情報セキュリティガバナンス
ISO/IEC 27017 ISO/IEC 27002に基づくクラウドサービスのための情報セキュリティ管理策の実践の規範

ISOをはじめとする認証制度は第三者による評価で実施されることもあり、その信用性は高く、対外的に会社の価値をアピールできます。たとえば、AmazonAWSは、次のような数々のグローバルおよびエリアに特化した認証を取得しています。
aws.amazon.com
さすがGAFAの一角ですね。ISO27001を取得するだけでもいろいろと工数がかかった記憶があるので、すごいとしか言いようがないです。