★☆★JNSAメールマガジン 第45号 2014.10.03.☆★☆

こんにちは
JNSAメールマガジン 第45号 をお届けします。

今回のリレーコラムは大日本印刷株式会社 野津 秀穂様による連載コラム「内部不正の原因の可能性と対策に関する雑考」の2回目、対策編をお送りします。
なお、10月7日(火)に行いますJNSA主催WG合同セミナーでも、「内部不正の具体的事例と対策」(IPA研究員小川氏)と題した講演を行います。ぜひご興味ある方は御参加下さい。
https://www.jnsa.org/seminar/2014/1007/

【連載リレーコラム(2):テーマ「内部不正」】
「内部不正の原因の可能性と対策に関する雑考(2)対策編」
(組織で働く人間が引き起こす不正・事故対応WG/大日本印刷株式会社 野津 秀穂)

4. 内部不正抑制のための対策

前回の「(1)原因編]にて検討対象の事例を特定し、原因の可能性として以下の3点を想定した。
@「(積極的な)動機がない」(動機が希薄)。
A「(偶然の)機会」は確かにあった。
B「罪の意識」を当初は感じていないようである。

犯人は、生まれながらのアウトローではないし、神に選ばれし高潔な聖人でもない。むしろ「なんとなく生活している」一般社会人であり、これは誰でもが犯人になり得る可能性を示唆している。このような実態に対しても抑制の対策を考える必要がある。

4.1 動機への働きかけ 〜「性弱説」〜

事前に「(積極的な)動機がない」といっても、実際に内部不正を起こしたその瞬間には、実行動を引き起こす何らかの「動機」は存在していたはずであり、偶発的な機会に遭遇すると「動機」は活性化するようである。

人は本来弱いもので、過ちを犯しやすい。「置かれた(社会的、物理的)環境や状況」によって、弱くなることがあり、「目先の利」などの誘惑に負けて魔がさし、犯罪者になることがある。この人間の本性を現す言葉が「性弱説」である。

常に正しい道に引き戻す声掛け(対話)が必要ではないだろうか。


報道される事件からは必ずしも全ての状況を知ることはできないが、それぞれの事件は、はたして「一回の犯行で全ての情報を不正に持ち出した」のような運の悪い偶発的な交通事故のようなものだろうか。殺人事件でも逮捕された犯人に「過去の未解決事件との関係についても調査を進める」といった報道を耳にすることがある。「罪の意識」を持たず、むしろ「うまくやった」「自分を褒めてやりたい」という気持ちを持つ犯行は常態化し易く、繰り返し行われていた可能性もある。

もし、繰り返し実行されていた内部犯行であれば、その間に「正しい道に引き戻す」チャンスは何回かありはしなかったか。不自然な行動を見過ごしていなかったか。

職場の危機意識を醸成することにより解決の可能性を効果的対策として求めたい。
「たいしたことはないだろう」
「なんとかなるのでは」
「よくあることさ」…
この一つでも脳裏に浮かんだときは要注意であり、管理者としても
「ちょっとヘンだな…?」
「大丈夫かな…?」

という感覚を大切にして職場の対話を図ることにより、「(あいまいな)動機」や常態化する内部不正を早期に抑制することができると考える。

ミスを事件にしてはならない。


4.2 機会を排除すると共に

「機会」を排除する方法として「物理的対策」「技術的対策」は有効であり「内部不正対策ソリューションガイド」(JNSA)にも掲載している。「やろうとしてもできない環境」を実装したいところであり、各社でも積極的な対策を導入していることと思う。

しかしながら「充電目的でスマートフォンをパソコンに接続したらデータもダウンロードできてしまった」といった脆弱性は、事前に気がつかなかったものであろうし「こんなところにも機会があったか」との思いは同情に堪えない。

偶然の「機会」に遭遇して「動機」が活性化される性弱説からも、「機会」は排除するばかりではなく、「機会」が完全に排除できないとしても「動機」の活性化防止として利用することができる。

入退出管理システムの導入は、不審者の入場阻止や入場許可者の認証・認可の直接的効果(機会の排除)だけではなく、会社規則を「見える化」し、「会社は情報セキュリティに対して取り組んでいる」ことを従業員が実感することにより、「気づき」のチャンスを提供している。セキュリティ対策が高度な会社に勤めていることを自慢に思う従業員も少なくない。注意点としては「見える化」による「気づき」は、慢性化すると効果も減退する可能性を秘めていることである。会社側も新鮮な「見える化」の取り組みを継続することが要求される。


4.3 「罪の意識」がない理由と対策

人が心情的に「罪」と感じるのは、友人、職場仲間、信頼している上長、近親者 など親密な関係にある誰かに迷惑を掛ける場合だと思う。

一方、会社の情報(換金性の高い個人情報なども)を持ち出す行為は、誰に迷惑を掛けるのであろうか。犯人は「会社に迷惑を掛ける」といっても「会社」には親密な関係にある誰か「人」として感じない可能性がある。「人に迷惑を掛ける」という「罪の意識」に該当しないので、ルール違反という「罪」が残るわけだが、心情的な「罪の意識」としては希薄になりがちであり、この結果「自分には、当てはまらないと思っていました。」という発言も生まれる。この状況は、以下の2つ原因に集約できる。

(1)当事者意識の欠如
(2)心情的「罪の意識」の欠如、「仕事愛の欠如」


4.3.1 当事者意識の醸成

教育により得た知識と自分の行動が必ずしも結びついてないことへの働きかけとして有効な手段

------------------------------------------------------------------------
自分の仕事の中で、情報セキュリティの観点から「やってはいけないこと」を10項目探してみましょう。
こうすることによって、自分の仕事のポイントが見えてきます。
株式会社ラックの西本専務理事の講演より
------------------------------------------------------------------------

この方法は、自分の仕事の改善として考え、経営への参画を意識してもらい自己実現の満足感を得ることにより知識と行動を結びつけ当事者意識を醸成する。

ここでは改善のレベルは問わない。自分であげた10項目は確実に意識され不正行為は起こさなくなるはずである。

(2)「仕事愛の欠如」への対策は次回述べる。
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。


【部会・WG便り】
★セキュリティ被害調査WG/理解度チェックWG/組織で働く人間が引き起こす不正・事故対応WG による合同セミナーを開催します。
<WG合同セミナー>
「セキュリティ、次の一手は 如何に打つ 〜企業内外の脅威と対策を考える〜」
・日時: 2014年10月7日(火)14時〜17時
・場所: 秋葉原UDX 6階 UDX Conference Room E
    http://www.udx-c.jp/access.html
・料金: 1,000円

 当日は会場内に「個別相談コーナー」を設置して、WG有志からなる情報セキュリティの専門家がご相談にお答えします!
 プログラム・お申込みは↓こちら↓をご覧ください。
 https://www.jnsa.org/seminar/2014/1007/
★「2014年度指導者育成セミナー」の参加申込み受付を開始しました。
 10月20日〜2015年2月末にかけて、全国各地で20回開催します。
 開催スケジュール、お申込みはこちらから。
 https://www.jnsa.org/ikusei/seminar/2014/
【事務局からの連絡、お知らせ】
★2014年度の「JNSA賞」の募集を開始しました。
 自薦他薦を問いませんので、ぜひ「この人に!」「自分こそ!」と思う方がいらっしゃれば推薦をお願いいたします。
 https://www.jnsa.org/jnsaaward/2014/ ★「入門者向けCTFワークショップ:第3回 CTF for Beginners」(11月1日開催)
 申込受付中です。ご興味ある方はぜひご参加ください。
 http://2014.seccon.jp/
★登録情報にご変更がある方がいらっしゃいましたら、事務局までご一報をお願いいたします。

☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
jnsa-mail

*************************************
JNSAメールマガジン 第45号 
発信日:2014年10月3日
発行: JNSA事務局 jnsa-mail
*************************************
Copyright (C)  Japan Network Security Association. All rights reserved.