-
-
🔰 Phase1:基礎理解(Day6)|情報セキュリティポリシーとは何か?企業統治との関係|📘 30日間連続講座|情報セキュリティマネジメント合格ロードマップ
2026/2/28
1. セキュリティは「技術」ではなく「方針」から始まる ここまでで、 CIA 情報資産 リスク構造 対策の分類 を学びました。 しかし重要な問いがあります。 誰が、どの方針で守るのか? これを定めるの ...
1. 最大の脅威は「外部」ではなく「内部」
サイバー攻撃というと、外部のハッカーを想像しがちです。
しかし実際には、
- 顧客データの持ち出し
- 退職前の情報コピー
- 不正アクセスの内部関与
- 経費データ改ざん
など、内部不正による被害も少なくありません。
試験でも頻出テーマです。
2. 内部不正とは何か?
内部不正とは、
組織内部の者が、意図的に情報資産に損害を与える行為
ポイントは「意図的」であること。
単なるミス(ヒューマンエラー)とは区別されます。
3. なぜ内部不正は起きるのか?
ここで重要なのが、有名な理論。
不正のトライアングル(Fraud Triangle)
内部不正は、次の3要素が揃ったときに起こりやすくなります。
- 動機(Motivation)
- 機会(Opportunity)
- 正当化(Rationalization)
この構造は試験でも問われます。
4. ① 動機(Motivation)
動機とは、
不正を行う理由
例:
- 金銭的困窮
- 不満・報復
- 出世欲
- 転職先への持ち出し
重要なのは、
動機をゼロにすることは困難という点です。
だからこそ、他の要素を断つ必要があります。
5. ② 機会(Opportunity)
機会とは、
不正を実行できてしまう環境
例:
- 管理者権限が集中
- ログ監視がない
- 承認フローがない
- 職務分掌が不十分
これは組織設計の問題です。
機会を減らすことが最重要対策です。
6. ③ 正当化(Rationalization)
正当化とは、
自分の行為を「仕方ない」と思い込む心理
例:
- 「自分は会社に貢献している」
- 「このくらい問題ない」
- 「給料が低いから当然だ」
心理的な要素です。
組織風土が関係します。
7. 構造で理解する
内部不正はこうして発生します。
動機
+
機会
+
正当化
= 不正発生
このうち、最も管理可能なのは「機会」です。
8. 試験で問われるポイント
頻出テーマ:
✔ 不正防止策
✔ 職務分掌の意義
✔ 最小権限の原則
✔ ログ監査の目的
例えば:
- 職務分掌 → 機会の減少
- ログ監査 → 抑止効果
- 誓約書提出 → 正当化抑制
どの要素に効く対策か、分類できることが重要です。
9. 内部不正対策の基本原則
① 最小権限の原則
必要最小限のアクセス権のみ付与
② 職務分掌
1人で完結させない
③ ログ監視
「見られている」という抑止効果
④ 透明な評価制度
不満を減らす
10. 経営視点での理解
内部不正は単なる個人の問題ではありません。
- 組織文化
- 管理体制
- 監査制度
- 経営姿勢
が関係します。
不正は人が起こすが、構造が生む
これが本質です。
11. 今日のアウトプット課題
考えてみてください。
- 自社で起こり得る内部不正は何か
- 動機・機会・正当化のどれが最も危険か
- 機会を減らす具体策は何か
書ければ、理解は定着しています。
12. 今日のまとめ
✔ 内部不正は「動機・機会・正当化」で起こる
✔ 最も管理すべきは「機会」
✔ 職務分掌と最小権限が重要
✔ 組織文化も影響する
🔰 Phase1 完了
ここまでで、
- 情報セキュリティの本質
- 情報資産
- リスク構造
- 対策分類
- 組織統制
- 内部不正モデル
基礎土台が完成しました。
次回からは Phase2 に入ります。
Day8|ISMSとは何か?PDCAとリスクアセスメントの本質
いよいよマネジメントの中核へ進みます。
