第308号コラム「標的型攻撃には内部不正対応が重要?」

第308号コラム:丸山 満彦 監事(デロイト トーマツ リスクサービス株式会社 代表取締役社長、公認会計士、
公認情報システム監査人)
題:「標的型攻撃には内部不正対応が重要?」

今回は、内部不正対策の重要性を説明し、いわゆる標的型攻撃にたいして内部不正対策が重要であることを説明したいと思います。

従業員による金銭の横領、重要な技術情報や営業秘密の横流し、個人情報の売却など、従業員による不正は、従来から一定の割合で起こっています。私は職業柄、そのような内部者の不正に関係する仕事に関わることがたびたび有りましたが、会社が十分な内部不正対応をしていれば防げた場合がほとんどでした。つまり、会社の内部不正対応の不備が従業員による内部不正の温床になっているともいえるのです。

内部不正は、
1.機会 (不正行為ができる職場環境)
2.動機 (不正行為をしようとする本人の事情)
3.正当化 (不正行為を是認しようとする本人の事情)
の3つの要因がすべてそろった場合に起こりやすくなると、いわれています。これは、クレッシー(Cressey, Donald Ray, 1919-1987)が実際のホワイトカラー犯罪者に対して調査をして得た「不正のトライアングル理論(the theory of the “fraud triangle”)」といわれているものです。さすがに、理論的に実証的に分析し、論理的に整理されたものですから、不正の分析の多くの場面でこの考え方は有効だと思っています。

さて、日本の企業では従来から、いわゆる「家族的経営」という名のもとで、「従業員は家族も同然だ、家族が犯罪をするわけがない」という発想のもと、内部不正対策を十分に実施していなかった企業が多かったように思います。しかし、そもそも家族が犯罪をするわけがないというのも根拠が十分にあるわけではないでしょう(実際には相続で家族同士が険悪になる場合も多いし、家族間の殺人事件も新聞ではよく見かけます)。また、社内で働いている人についても、いわゆる正社員といった無期雇用従業員、嘱託社員などの有期雇用従業員、アルバイト、派遣社員など、さまざまな形態の人がいるわけで、家族といったところで、直系親族からお手伝いさんまでいる状態で、組織に対する忠誠度合もさまざまであるといわざるを得ません。そのような状況の中で「家族だから内部不正は起こらないのだ」とか「そもそも、従業員を犯罪者として疑って会社を経営するとは何事だ」といった極論になって議論をやめてしまうのは、あまりにも残念な思考といえるでしょう。

さて、内部不正を防止するための重要なポイントは「機会」、「動機」、「正当化」の3つの不正の要因に対策をすることです。機会に対するというのは、会社がもっとも実施しやすい対策です。まずは、不正が起こらないように、実行責任者と承認責任者を分けるといった職務分離や権限の分離をすることが重要となります。しかし、多くの不正は、そのような職務分離などができていないところで起こっています。たとえば、予算や職制の関係で職務分離などを十分にできていないところで起こってしまうのです。そこで、不正の発生を抑止しようとする考え方があります。不正を発見して見つかるから不正を起こらないようにしようとする考え方です。内部不正が起こっていないか、つまり権限のある人がその権限を不正に利用していないかを発見し、発見した場合には直ちに是正するように働くという方法です。実は、この方法は多くの銀行などの金融機関では昔からよく使われている考え方です。不正の発見をいかにリアルタイムで行い、即座にその対応をするかが損害を抑制するためには重要なのです。

さて、ここでいわゆる「標的型攻撃」の対策について考えてみましょう。標的型攻撃では、メールやウェブアクセスによって会社の組織にマルウェアを送り込み、内部者になりすまして内部で情報をさぐり、必要な情報を見つけたらそれを外部に持ち出そうとします。権限のある人になりすまされた場合は、その行動は、本来の権限のある人の行動と見分けがつきにくいということです。そこで、内部不正対策の考え方がポイントになってきます。標的型攻撃でなりすました人は、内部者ではありませんが、システム上は権限のある内部者と同じ見え方をします。つまり、内部者が犯行を犯そうとしているようにしか見えないということです。即ち、内部不正対応をしていれば、そのような犯行者を見つけて、損害の拡大を防止することがしやすくなります。

実際に、内部不正対策をシステムにも十分に実施している金融機関では、標的型攻撃を受けても早期に発見し、早期に対策ができているようです。ある金融機関の方とお話をしたときに、「内部不正対策を長年やってきているので、不正なアクセスも事前に発見できて、内部に深く入られるのを防止できていて、不正や標的型攻撃を100%発見できていないかもしれないが、それなりに効果はでている」と、おっしゃっていました。

標的型攻撃には内部不正対策が有効に機能するのではないかと思っています。皆様も検討されてはいかがでしょうか。

【著作権は丸山氏に属します】