リスクアドバイザリー

システムリスクに係わる内部不正を食い止めろ

2013.02.25
松ヶ谷 正志
新日本有限責任監査法人
ITリスクアドバイザリー部 エグゼクティブディレクター
システム監査技術者、公認情報システム監査人
金融機関、クレジット会社、通信事業者、製造業、地方自治体等のシステム監査や情報セキュリティ監査、電子認証局監査、個人情報保護に関するアドバイザリー業務などに豊富な実績を持つ。


1. 内部不正は今もどこかで

2012年10月、船橋市の非常勤職員が住民基本台帳の情報を営利目的で漏えいしたとして、逮捕される事件が起きました。この事件は、比較的大きく報道されたため、記憶されている方も多いのではないでしょうか。

一般に、刑事事件にならなければ、内部不正の被害者である組織が自らの事件を積極的に公表することはありません。このため、内部不正の発生状況に関する実態の調査は難しく、被害額の推定や統計的な分析は一部の公表されたデータに依存せざるをえません。

今回は、情報システムを不正に使用して行われるシステムリスクについて、不正行為者の個人的特質や心理に注目し、不正行為を抑制するためのヒントを探ります。

内部不正は、公表されないものを含め、今もあなたの身近なところでも進行しているかもしれません。

2. 不正行為者の特徴は「単独犯」

これまで、国内において、システムリスクに係る内部不正の実態調査や研究結果が一般に公開されることはあまりなかったのですが、ここ数年、いくつかの報告書が公表されています。その一つは「情報セキュリティにおける人的脅威対策に関する研究報告書」財団法人社会安全研究財団(平成22年3月)です。

この報告書は、過去(2007年から2009年6月まで)に検挙された内部不正30事例を分析対象に、いろいろな観点での分析を行っています。

犯行者の「個人的・人格的特徴」という観点(表1参照)では、性別や学歴、転職回数、趣味・嗜好、借金、人柄などについての傾向分析が試みられています。

分析結果については、事例数が少ないこともあり、明確な傾向とまで言える点は少ないのですが、不正を抑制するための内部統制の有効性という観点からは、次のような傾向が見受けられます。

それは、「女性複数」という1件の事例を除き、その他すべてが「単独犯」であるということです。また、業務環境として、チェックする者がいなかったり、他に詳しい人がいないなど、監視機能が弱かったことが共通しています。

表1 「内部不正30事例の個人的・人格的特質」


システム悪用
(9件)
システム破壊
(10件)
情報流出 I
(金銭目的)(7件)
※IIと2件重複
情報流出 II
(心理的満足目的)(8件)
※Iと2件重複

  • 男性(5)
  • 女性(3)
  • 女性複数(1)
  • 男性(9)
  • 女性(1)
  • 男性(7)
  • 男性(8)

  • 大卒(1)
  • 短大卒(1)
  • 高卒(3)
  • 専門学校卒(4)
  • 大卒
    (国内、2)
  • 大卒
    (外国、4)
  • 短大卒(1)
  • 高卒(3)
  • 大卒(5)
  • 大学中退(1)
  • 専門学校卒(1)
  • 大卒(2)
  • 大学中退(1)
  • 専門学校卒(1)
  • 専門学校中退(1)
  • 高卒(2)
  • 高校中退(1)

  • アルバイト等を頻回転職(1)
  • 転職5回(1)
  • 転職3回(2)
  • 転職1回
    (前職は解雇)(1)
  • 転職1回(前職で自営が倒産)(1)
  • なし(3)
  • 転職7回
    (いずれも会社都合の退職)(1)
  • 転職4回(1)
  • 転職3回(3)
  • 転職2回(3)
  • なし(1)
  • 不明(1)
  • 転職3回(3)
  • 転職2回(1)
  • 転職1回(2)
  • なし(1)
  • 転職4回(1)
  • 転職3回(2)
  • 転職2回(1)
  • 転職1回(3)
  • なし(1)

3. 不正行為は3つの要素の重なりを排除して防ぐ

内部犯罪・不正行為の防止、抑制策を考えるとき、ホワイトカラーの犯罪(粉飾等企業の会計不正を含む)の場合は、「Fraud Triangle(不正のトライアングル)」と言われる考え方がよく登場します。

これは、米国の犯罪学者Donald R.Cressyが提唱したもので、不正行為は、「Pressure/Incentive(プレッシャー/動機)」、「Opportunity(機会)」、「Rationalization(正当化)」の3つの要素が重なった場合に行われるというものです。

図 「Fraud Triangle(不正のトライアングル)」

つまり、この3つの重なりを可能な限り排除することが不正行為の抑制策になると考えられます。

組織としては、3つの要素のそれぞれに対策を施すことが有効ですが、システム的な対応としては、「Opportunity(機会)」を減らすことを目的に、現状の弱点を洗い出し、より強固なコントロールを導入することが必要です。

例えば、「他人のIDを使わせない」ようにするために、次のような運用やシステム設定を行う、といったことが一般的に考えられます。

  • 不要なIDの削除
  • パスワードの強化・保護
  • スクリーンロック
  • アカウントロックアウト

2009年に発生した大手証券会社の情報漏えい事件(システム部の元社員が顧客情報148万人分を不正に持ち出し、うち約5万人分の情報を名簿業者に売却した)においても、未使用のIDが適時に消去されず、これを使えば見つからないかもしれないと思わせる「機会」が存在していたと言えます。

他には、

「高権限のIDの利用は最小限に限定し、何らかの方法で誰が使用したかわかるようにする」

  • ログ(アクセスログ、操作ログ等)の保存
  • ログのレビューとレビューを実施していることの周知

「アクセス権限を分離(分割)し、一人で業務が完結しないようにする」

  • 横(組織や担当者)の分離
  • 縦(管理者と作業者)の分離

「情報の出口(持ち出す方法)を規制・監視する」

  • USBメモリ等外部記憶媒体への書き込み不能設定
  • Webメール、外部ストレージサービスへのアクセス禁止
  • 外部宛てメール(宛て先、添付)の監視

などです。

4. より効果的な抑制策にするために

もう一つ、昨年公表された報告書として、
独立行政法人情報処理推進機構(IPA)の「組織内部者の不正行為によるインシデント調査」(2012年7月)があります。

この調査では、内部不正調査に携わった関係者へのインタビュー調査(20件)や内部不正に関するアンケート調査(3,110名)が行われています。

このアンケート調査においても、「あなたは、どのよう条件が整えば不正を行いたいと思う気持ちが低下すると思いますか?」という問い(20個の条件の上位5つを選択)に対する回答のトップ3は、表2のとおりです。やはり、自分の犯行がすぐにわかってしまうと思わせることが有効なコントロールになるということがわかります。

表2 「不正を行いたいと思う気持ちが低下する条件」

順位 割合 条件の内容
1 54.2% 社内システムで行ったルール違反の痕跡を消すことが難しい
2 37.5% 顧客情報などの重要な情報にアクセスした人が監視される(アクセスログの監視等を含む)
3 36.2% これまでに同僚が行ったルール違反が発覚し、処罰されたことがある

IPAは、この調査結果を基礎的な情報として、2012年度中に「組織における内部不正防止ガイドライン」を作成し、公表する予定です。多くの組織にとって内部不正への効果的な対策を導入するための有効な資料となることが期待されます。



情報量は適当ですか?

文章はわかりやすいですか?

参考になりましたか?