リスク・フォーカスレポート
「リスク・フォーカスレポート:情報セキュリティ編」は、本稿を含め全6回、組織・企業における情報漏洩事故の、「人的脅威」について考察をおこなってきた。
情報漏洩事故は、発生場所の観点から、組織の外部からの攻撃と内部における不正行為の大きく2つに分類することができる。
組織外部からのサイバー攻撃は、インターネットから組織のネットワークへのウィルスやDDoS(Distributed Denial of Service attack)攻撃、標的型攻撃メール等がある。
一方、組織内部で起きるのが、ヒューマンエラーや内部不正行為である。特に、内部不正行為者は、情報や情報システムにアクセスする権限を持つ者の場合が多く、アクセス制御等による技術的対策のみでは限界がある。そのため、不正行為が発生する環境要因や心理的要因等についても考慮する必要がある。
情報漏洩事故防止のための対策としては、IT関連ソフトウェアや機器の導入による対処療法に陥りがちであるが、「個人の視点」に基づく計画・実施と「組織の視点」による継続的な運用の双方が必要不可欠である。
個人的な視点とは、人間をよく知り、当事者の視点で捉えることである。対策の検討、実施に際しては、人間の特性の把握と業務実態との整合を図り、当事者が意義を理解し主体的に取り組むことが必須である。この視点を欠いた対策は、効果が薄いばかりか、関係者の負担増大につながり、新たなルール逸脱や不正の要因となるおそれもある。
組織の視点とは、不正・違反防止に対する組織的な取り組みである。「不正はどんな人間でも起こしうる」「不正は組織や環境に誘発される」という基本認識のもと、システムマネジメントおよびモラルマネジメントを高い水準で維持しつつ、対策の継続的な運用が求められる。
最終回である「リスク・フォーカスレポート:情報セキュリティ編第六回」では、各種犯罪予防のベースとなる理論を概観し、情報セキュリティ事案に適用して、具体的な内部不正の抑制・防止方法を検討したい。なお、本稿で最後ということではなく、今後も企業危機管理の一環として実務対応を踏まえた様々な角度から「情報セキュリティ・IT」をテーマに取り上げていく予定である。
1.ルーティン・アクティビティ理論(日常活動アプローチ)
ルーティン・アクティビティ理論では、犯罪を要素に分割し、犯罪の発生には、①動機づけられた犯罪者、②好適なターゲット、③違反に対処できる監視者の不在、この3つが時間的、空間的に収束することが不可欠であると考える。つまり、犯罪者の日常生活の場と被害者の日常生活の場が重なり、かつ犯罪を行いやすい環境的要因があるところで、犯罪が発生すると考える。監視者というのは、警察官やガードマンというよりは、地域住民や通行人など一般の人々を意味しており、いわゆる社会の目が日常生活における犯罪発生を抑制させる役割を持つと考える。
犯罪者のライフスタイルの変化だけではなく、被害者のライフスタイルの変化にも注目し、違法な犯罪行為も日常の遵法的な行動に依拠すると考える点が特徴である。
このルーティンアクティビティ理論に基づくと、時間的、空間的な場の中で、①動機づけられた犯罪者、②好適なターゲット、③監視者の不在の3つの条件が揃わないようにすることが効果的な犯罪予防となる。
これらのうち、動機づけられた犯罪者を減少させる効果的な施策を立案することは困難であるが、好適なターゲットと犯罪者が接点を持つ機会を減少させること、監視の目を強化することなど、状況的な要因については比較的対策を講じやすいと考えられる。犯罪予防のための対策として、犯罪を行わないような教育をすること、安全な環境を設計すること、犯罪を行う場を取り除くこと、逮捕と訴訟手続き、裁判と有罪判決、刑罰と社会復帰の6段階の過程があげられるが、犯罪発生を抑制する現実的な機会は、安全な環境を設計することと犯罪を行う場を取り除くことにあると指摘している。
これは、犯罪を未然に防ぐためにはこれらの要素を同時に起こさないよう、「監視者」、「行動規制者」、「管理」の3つが必要であることを示す。
2.状況的犯罪予防の理論
ルーティンア・クティビティ理論では、不正者の意図や目標対象に対して、外部からのコントロールや抑止が困難な場合もある。一方、監視者の設置などによって外部からのコントロールを可能な「環境」を適切に定めることを主眼として犯罪機会を低減し、予防する研究として、状況犯罪予防の理論がある。
状況犯罪予防とは、「ある特定の犯罪問題を削減するための、極めて実践的かつ効果的な手段」と定義され、犯罪発生に関連する多くのプロセスや要因について予防するための方策を検討するために用いられる。
これらは次の4つの基本原則から構成されている。①犯罪予防の目的は犯罪の機会を減少させることにある、②犯罪予防の対象は具体的な特定の犯罪形態である、③犯罪予防の方法は、犯罪者の構成や環境の一般的な改善ではなく、犯罪発生の可能性がある環境に直接働きかけ、管理・設計および操作するもの、④犯罪予防の重点は、犯罪の際の労力とリスクを増大させ、犯罪から得ることができる利益を減少させることにある。
状況的犯罪予防を情報セキュリティ事案に適用すると次項のようなアプローチが考えられる。
3.内部不正抑制アプローチ
イ)予防策を高める
犯罪や不正を物理的・論理的に予防するものであり、さらに犯罪対象物の強化、入退館アクセス管理、出口での審査、犯意をそらすことである。これらに対応する企業・組織の対策としては、アクセス制御や脆弱性パッチの適用、暗号化、USB等外部ポートの制限、ソフトウェアによる外部装置への書き込みの無効化等が考えられる。
その他、不正の対象となるターゲットへのアクセスや、持ち出し容易性を制御することで予防策を実現する。重要エリアへの出入制限、重要情報へのアクセス制限、現金や貴重品取扱機会の低減なども具体的施策として考えられる。さらには、以下のような対策も具体的には考えられる。
-
-
- 退職者のアカウントは、即日削除する(退職者は退職日以降に社内ネットワークへログインできない)
- ネットワークへの利用制限を設ける(メールの送受信先の制限、Webメールの制限、Webサイトの閲覧制限)
- CDやUSBメモリ等の外部記憶媒体への書き出しや持出しを制限する
-
ロ)発覚した際のリスクを高める
犯行が分かる仕組みを構築すれば、抑止力として働く。ここでは、防犯意識の向上、自然監視性が機能するための環境整備、匿名性の排除、職場管理者の利用、公共監視の強化が挙げられる。
さらに、組織内で行われた行為において、その主体を確認することができるようにしておくことで、不正の発生を防止する効果が期待できる。具体的にはIDカード等による出入管理システム導入と社員行動の把握、ID常時装着の徹底などによって実現する。
プリントアウトや情報アクセスのログなど、総合的なログ管理を行うことも有効である。異常が発生した場合に事後の監査を行いやすい環境を作ることで、内部不正に対する牽制を行う。「つい魔がさす」ことは、その人間の組織や社会における地位によらず起こり得ることに注意し、組織で働く「すべての人間」の行動について、匿名性を排除、行動の主体を明確にし、責任分岐点がきちんと認識されていることが重要である。
また、システム管理者や管理監督者が常に見守っていることが、組織や従業員にとってどのようにプラスに働くかを理解させる必要がある。従業員の意識改革を行って、組織の中に、管理者の部下の行動を確認するのが当たり前という空気を作ることができるかどうかが鍵となる。未熟で性弱な従業員のミスを、問題発生前にチェックし是正することは、管理者の第一義的な責任であるといえる。なお、具体的な対策としては以下のようなものが考えられる。
-
-
- システム管理者を増員する場合等に、社内の監視体制を強化する
- 顧客情報や技術情報などの重要な情報にアクセスした人が監視される(アクセスログの監視等)
- システム管理者権限が複数人に設定され、ルール違反の相互監視を徹底する
- 社内システムに参加するためのID、パスワードの管理を徹底する
- 職場内に監視カメラを設置する
- 情報システム管理者以外に、情報システムへのアクセスさせない
-
ハ)見返りを抑制する
ここでは、犯罪対象物の隠蔽、犯罪対象物の排除、所有者を明確化することで、犯罪や不正が割に合わないようにする。対策としては、重要情報の限定提供、車上荒らし対応、廃棄PC・ディスクの物理的破壊、不要個人情報の破棄、電子署名/電子透かし等の利用、ユーザーIDの個人配布、オークションサイト情報の確認等がある。
また、パソコンや情報媒体の廃棄にあたっては、記録された情報を確実に消去し、情報の確実な消去が保証されない場合には、情報記憶媒体を物理的に破壊した後に廃棄する。パソコン、情報媒体の廃棄に際しては、無知によるミスを発生させないようにする従業員啓発も重要である。
また、物や情報などの内部不正の対象に対してなんらかの方法でIDを付与することで、不正に持ち出されたとしても、所有者が判るようにしておくことや、在庫などの内部不正の対象になり得るものについて、その唯一性を証明できる製造番号等の記録を残しておくことも有効である。その他、具体的な対策としては、以下のようなものがある。
-
-
- 社内の重要な情報を暗号化する(社内の重要な情報を誰もが閲覧できない)
- 重要情報のアクセスは認められた従業員に限定されている
- PCやUSBメモリ、携帯電話などの会社備品に会社管理のシールを貼る
-
ニ)犯行、不正の誘因・挑発を減らす
犯罪や不正を行う気持ちにさせないことで予防を図り、欲求不満や緊張の削減、争いの回避、感情の高まりの削減、周囲からの圧力を無力化することである。
過大なフラストレーションやストレスを感じ、コミュニケーションも十分に取れない職場では、従業員の職場に対するネガティブな感情が膨らんで、そのはけ口として内部不正を働く犯罪企図が発生しやすくなる。高額の借金を抱え、その返済に追われる状況に追い込まれた人間は、強いストレスを抱えて、それから逃れるために、横領などの内部不正に至ることがある。面談やカウンセリングなどによって、個人のストレス等を把握し、問題を認識した場合、その解決を手助けすることは犯罪誘因を取り除き、内部不正を防ぐうえでも有効である。
また、相互不信等を内包する組織では、そのはけ口として内部不正が発生する可能性が高くなる。そこで、組織内における相互不信による要因を除去し、組織内にマイナス要因としてのわだかまりや、対抗心が蓄積することが無いようにする対策が重要となる。また、組織内で「パワハラ」などのハラスメントが横行していたりすると、組織内に鬱憤を蓄積させる。そのため、どのような行為がハラスメントにあたるかを周知し、研修による啓発を行って、組織内でハラスメント行為を起こさせない体制を作ることが重要になる。
組織によっては、過去からの悪しき因習によって、半ば公然と内部不正が行われていることがあるかもしれない。また、法規やガイドライン等の変更によって、過去は認められていた行為が、突然、不正となる場合もある。組織の因習として行われている内部不正を是正するためには、その組織のトップが、悪しき因習、悪しき組織文化からの脱却を組織の構成員一人ひとりに対して明確に宣言することも重要である。また、以下のような点にも注意が必要である。
-
-
- 社外や業務時間外に仕事をしなくて済むように業務量を軽減する
- 上司や同僚に頻繁に相談できるようにする
-
ホ)弁解や言い訳の余地を排除する
これは、不正や犯罪理由を正当化させないことであり、規程、指示標識の提示、良心への警告、法令遵守への支援、薬物やアルコールの統制が挙げられる。
この対策では、セキュリティポリシーの策定、社内規程/セキュリティポリシーの教育・周知、関係者との機密保持契約の締結、ポスター/画面バナー等の活用、情報の重要度設定、無権限者へのシステムによる注意喚起、法令遵守教育・周知等が考えられる。
内部不正に及ぶ弁解の予定を無くし、たとえ従業員が犯罪企図を持ったとしても、実際の犯行として顕在化することを抑える対策である。組織における、多くの内部不正は「言い訳」によって自己正当化して行われる。内部不正に及ぶ前の自己正当化のための弁解の余地を取り除くことで、たとえ従業員が犯罪企図を持ったとしても、実際の犯行や不正にブレーキをかけることが可能となる。具体的には以下のような対策が考えられる。
-
-
- 職務上で作成、開発した成果物は、企業に帰属することを研修等で周知徹底する
- 顧客情報や機密情報などの重要な情報を持ち出した場合の罰則規定を強化する
- 職務上で取り扱いに関する罰則規定を強化する
- ルール違反(職務違反や個人情報管理対策や情報セキュリティポリシー)に抵触しそうな行為についての問い合わせ窓口を設定する
- 過去に周囲にルール違反が発見されたことがあることを周知する
- 過去に周囲にルール違反が発見されたことにより、処罰されたことがあることを周知する
-
4.違反や乱れを放置しない
上記犯罪機会の理論の他、犯罪予防の基本的な考え方に「割れ窓理論」というものがある。これは、大都市における落書きや割れた窓を放置しておくと、街が荒れ、無秩序となって凶悪犯罪などが多発するなど、悪の連鎖現象が発生するというものである。
これは、小さな乱れを放置しておくと、大きな犯罪を呼び起こしてしまうという考え方であり、具体的には、建物の窓が割れているのを放置すると、誰も注意を払っていないと認知されてしまい、やがて他の窓も次々を割られるということである。
(1)非社会的・非道徳的なことが「放置」されていると、モラル低下につながる。
(2)「放置」に対して、声を上げることができない雰囲気=「傍観者効果」が働く。
つまり、小さなほころびが犯罪を呼び込み、地域社会の荒廃にまでつながっていくということである。これを、地域社会の防犯だけではなく日常の業務にあてはめて考えてみると
①割れ窓を放置しておく
→小さな怠慢やミスが放置されている。周囲(上司・同僚等)が注意しない(もしくはできない)
②誰も街を管理していないと認知される(ゴミの散乱・器物破損等)
→小さな怠慢・ミスは許されるとの誤った認識が共有され、抵抗感がなくなる(習慣化)。また、認識していても、ここまで許されるなら、「もう少し散乱・破損しても大丈夫だろう」と自分で勝手にこじつける心理が働く(合理化)。
③街の風紀が荒み、街への愛着がなくなる(治安の悪化と犯罪多発)
→違反や怠慢が放置されることにより、従業員同士で相互に注意しあわないことで、信頼感やモラルの低下が常態化する。
これは、いかに立派な戦略や理念があっても企業、組織内におけるコンプライアンス違反が「放置」されていると、社内規定や上司の指示・命令をタテマエ的であると認知し、信頼感が低下し、社内モラルの低下につながるということが考えられる。
これは逆に小さな不正を見逃さないような風土を作ることによって、環境全体が徐々に浄化されていくという効果をあげている犯罪予防論である。
日常業務における「割れ窓」対策を考えると・・・
①小さな怠慢やミスでも見て見ぬふりをせず、注意できる環境を構築する(各現場も同様)。②従業員が会社の文化は自分たちが作りあげるという当事者意識をもって挨拶、掃除、補修など意識して取り組むルールと責任を明確にする。③見通しのきかない場所をなくす(怠慢や違反を放置しない)。
等が重要になると考えられる。また、さらに身近なところでよく言われることに、5S(整理、整頓、清掃、清潔、しつけ)活動等がある。しかし、これらは当然のことのようでこれをきちんと実行することは容易ではない。
「割れ窓」対策は、風通しのよい職場、信頼感が保たれた職場づくりのために、今一度確認しておきたいポイントであり、確実に実行して、従業員が自主的に行う習慣をつけるような活動の「継続」がより重要である。
5.最後に
「正常化の偏見」とは、人間が、多少の異常事態が起こっても、それを正常の範囲内としてとらえ、心を平静に保とうとする働きである。
この働きは、人間が日々の生活を送るなかで生じるさまざまな変化や、新しい出来事に、心が過剰に反応し、疲弊しないために必要以上の杞憂を抑えるために不可欠な心理上の働きである。
しかし「正常化の偏見」の度が過ぎてしまうと、本当に危険な場合、警報装置が鳴っているといった非常事態の際にも、それを異常と認識せず、避難などの対応が遅れてしまうといったことになりかねない。
実際、避難が必要となった人びとや、避難を誘導・先導すべき人たちに「正常化の偏見」が働いたため、被害が拡大した災害は多い、と指摘する専門家もいる。
また、災害心理学では、正常化バイアスの負の働きを抑えるには、日頃から災害の危険性を十分に認識し、異常の兆候がどういうものであるかを知り、非常時にはどう対応すべきかを普段から考えておくことが大切であると説いている。
これを我々の日常業務における情報セキュリティ対策にあてはめるならば、情報が漏洩するなどの事故が発生した場合に、組織や個人にどんな影響があるかを常に認識しておくことが重要になる。
企業や組織において、記憶媒体の無断持ち出しや私物利用による情報流出、飲食店での書類や携帯電話の紛失の報道は一向に減らない。この現状を鑑みると、情報管理ルールの逸脱や知識不足による「自分だけは大丈夫」「問題はない」との認識や日頃の振る舞いは、負の意味で「正常化の偏見」が強く疑われる。
ルール逸脱や内部不正が企業・組織にとって致命的な事象に結びつくのは、情報セキュリティ事案に限ったことではない。多くの企業において発生する不適切な事象は、「人」に起因することを十分認識する必要がある。