不正のトライアングル
たくさんの攻撃種類を学習したところで、そもそもどうして不正行為が行われてしまうのでしょうか? ここでは、犯罪学者のドナルド・クレッシー(Donald Ray Cressey)さんが提唱した「不正のトライアングル理論」について触れていきます。
不正行為が発生するための3つの主要な要因を見ていきましょう。この理論は、企業や組織における不正の予防や検出に役立ちます。
- 不正のトライアングル
- 割れ窓理論
第12講
不正のメカニズムに「トライアングル」と名付けられているので、その3要素を見ていきましょう。
- 動機
- 機会
- 正当化
この3つが揃って、不正行為が働く、とのことです。
手に入れたい! おっ、手に入れるチャンス! ちょっとぐらいならいいよね。私は悪くない…といった感じかな?
このうち、どれかを削ることができれば不正のトライアングルを壊すことができるのよ
動機(Motive/Pressure)
経済的な問題や、仕事でのストレスが原因となることが多いと言われています。
今の現状に不満があり、隣の芝生に理想を抱き、満たされない欲望が我慢の限界に達したとき、動機のバロメーターは振り切ります。たとえ一時的に我慢できたとしても、そのバロメーターが振り切れたあとも、依然として危険度は続きます。
満たされないことをリストアップしてみると、実は100項目もないはずです。自動的に頭の中で思い浮かぶことは、繰り返し満たされない姿を考え続けているだけで、脳が疲れているだけ
実は順番に解決できることばかり、重複しているものばかりなので、手書きでA4用紙をめいっぱい埋めるつもりでリストアップしてみてください。絶対に、めいっぱいにはなりません
また、不安を1つ1つ潰していくことに心地よさを覚えていくため、この作業こそが正常にバロメーターを下げていきます
機会(Opportunity)
不正行為を行う機会が存在すること。会社の内部統制が弱い場合や、監視の目が行き届いていない場合に、不正行為を行いやすくなります。
誰も見ていない。そういう状況が機会を与えます
けれども、すべてを監視状態にすると、人は窮屈さを感じて業務の効率が下がることが懸念されます。また、そういう機会を与える場所は、決まって「風通しが悪い」気もしています
自然な職場空間、けれどもセキュリティが担保している職場空間、まずはクリーンデスク・クリアデスクを心がけてください
正当化(Rationalization)
不正行為を正当化するための自己弁護です。自分の行為が正当だと信じ込むことで、罪悪感を感じずに不正を行ってしまうことです。
例えば、「自分は適正な報酬を得ていないから」「会社が自分を評価していないから」といった考え方です。
偉い政治家もやっている。上司もそうやって這い上がってきたんだ。私がやったとしても罪にならない…。こういう流れかな
この正当化は、動機が構築されてからのプロセスとなるため、動機を消し去れば正当化のプロセスを打ち消すことができるはずです。
感情が自己制御を破壊してしまうので、場合によっては不正のトライアングルを一瞬で満たしてしまうこともあります。極度に怒りを感じて感情が揺らいだときなどは、その場から離れて、感情をコントロールすることが大切です
こうして勉強している今は他人事のようにも思えるけど、まずは自分自身に対しての自己制御ができるかどうかが大切だね…。アンガーマネジメントはとても大事だ
不正行為を自分自身が引き起こさないためにも、不正のトライアングルを学ぶ意義があります。動機がなければ正当化もないので、動機を生まないために現状はどうか? 機会を作らないために、日頃からどのような注意をすべきか?
前回学んだサイバー攻撃手法と、不正のトライアングルは密接に関連しています。
例えば、フィッシング攻撃では攻撃者の「動機」は金銭的利益かもしれません。ユーザーの不注意という「機会」を利用し、引っかかる奴が悪いと、行為を「正当化」します。サイバーセキュリティ対策を考える際にも、この3つの要素を意識することが大切です。
それでは、次に割れ窓理論についても触れていきましょう。
割れ窓理論
自動販売機の横のゴミ箱を想像してみてください。
缶やペットボトル専用のゴミ箱なのに、プラスチックカップが突っ込まれ、コンビニエンスストアで購入したおにぎりやパンの袋なども次々と捨てられていきます。
次第にゴミ箱がいっぱいになると、今度はゴミ箱の周辺にゴミが集まり、雪が積もった後のようにゴミで埋め尽くされます。
面白いのが、ゴミが集まる速度が次第に早くなっていくこと。
これが「割れ窓理論」です。小さな問題を放置すると、より大きな問題が発生するという理論です。
会社のウェブサイトに小さな脆弱性があると、それを見つけた攻撃者がよりひとつひとつ突いていき、次第に大きな攻撃を仕掛けてくる可能性が高くなります。
また、従業員が些細なセキュリティルール(パスワードの定期変更など)を無視し始めると、より重大なセキュリティ違反に繋がる可能性が高くなります。
個人単位での意識改革は素早いものですが、組織単位での意識改革は時間がかかります。乱れると素早く乱れ、統制を取ろうとすれば時間を要するものです。
注意確認
不正のトライアングル、割れ窓理論を学習したら、以下の該当事項にあてはまることをしていないか、確認してみましょう。
- 満員電車の中で会社メールやビジネスチャットをしている
- 電車の中でパソコンを広げてしまう
- 空港のラウンジやカフェでパソコンを置いたまま離席してしまう
- お昼休み、社員証などのICタグを首から提げたまま外出してしまう
- 会社支給のノートパソコンを持ったまま飲み会に出かけてしまう
これらも情報セキュリティ教育がされていないことを脅威アクターに証明してしまうことになります。
- 満員電車の中で会社メールやビジネスチャットをしている
- 距離が近いため、近くの人に丸見えです
- 電車の中でパソコンを広げてしまう
- のぞき見防止フィルターがあっても後ろからは丸見えです
- 空港のラウンジやカフェでパソコンを置いたまま離席してしまう
- 通信の盗聴、USBを差し込まれることによるマルウェア受信のリスクがあります
- お昼休み、社員証などのICタグを首から提げたまま外出してしまう
- APT攻撃の標的ターゲットとなりやすいです
- 会社支給のノートパソコンを持ったまま飲み会に出かけてしまう
- 紛失・盗難・故障のリスクがあります
特にオフィス街で多いのが、社員証をぶら下げたままの人。
会社名、名前、部署名がわかれば、その人のメールアドレス特定は非常に容易なものです。入館に必要なアイテムでもありますが、できればポケット等にしまっておきましょう。
APT攻撃の脅威は常になるので、日頃の何気ない行動パターンも見直す必要があるよね
第12講のまとめ
不正のトライアングルと割れ窓理論を学習しました。不正をするのは自分自身かもしれないと主観的になって、一度自分自身を見つめ直してみてください。
そして組織においても、以下の点を意識することが重要です。
- 動機を減らす
- 公正な評価システムや報酬制度の導入
- 機会を減らす
- 適切な内部統制や権限分離の実施
- 正当化を難しくする
- 明確な倫理規定の策定と周知徹底
組織全体でこれらの対策に取り組むことで、不正行為のリスクを大幅に低減できます。ひとりひとりの意識で、脅威を少しでも遠ざけていきましょう。
私たちができることは、この3つの要素をそれぞれ知り、職場や生活環境を秩序ある空間に保つこと
不正が起きない環境づくりを考えていきましょう!