sg security_management risk_assessment security_awareness sg-security-management
まず結論
不正のトライアングルとは、「動機・機会・正当化」の3つがそろうと不正が発生しやすくなるという考え方であり、SG試験では不正を防ぐためにどの要素を断つべきかを判断させる問題として出題されます。
直感的な説明
たとえば、社内で不正が起きる場面を考えてみます。
- お金に困っている(動機)
- 一人で処理できてチェックがない(機会)
- 「これくらい大丈夫」と思ってしまう(正当化)
この3つがそろうと、不正が起きやすくなります。
逆に言うと、どれか1つでも崩せば不正は起きにくくなるというのがポイントです。
定義・仕組み
不正のトライアングルは、内部不正や不祥事の原因分析に使われる基本概念です。
3つの要素は以下のとおりです。
① 動機(Motivation)
不正をしたくなる理由
例:
- 金銭的な問題
- ノルマ・プレッシャー
- 不満(待遇・評価)
② 機会(Opportunity)
不正ができてしまう状況
例:
- チェック体制がない
- 権限が集中している
- ログ監視が不十分
👉 業務設計やアクセス管理の問題がここに該当
③ 正当化(Rationalization)
「やっても仕方ない」と思う心理
例:
- 「会社も不正している」
- 「自分は正当に評価されていない」
- 「一度だけなら問題ない」
👉 教育や組織文化の問題がここに該当
どんな場面で使う?
不正対策を考えるとき
SG試験では、「どう防ぐか」が問われます。
-
機会を減らす
→ 職務分掌、アクセス制御、監査ログ -
動機を減らす
→ 適切な評価制度、労務管理 -
正当化を防ぐ
→ セキュリティ教育、倫理意識の向上
ケース問題(科目B)
- 「なぜ不正が起きたか」
- 「どの対策が有効か」
👉 3要素のどこに問題があったかを見抜くのがポイント
よくある誤解・混同
❌ 技術対策だけで防げる
→ ⭕ 正当化や動機も関係する
SG試験では
「アクセス制御を強化すれば十分」といった選択肢が出ますが不正解になりやすいです。
❌ 不正は悪い人がやるもの
→ ⭕ 誰でも条件がそろえば起こり得る
👉 人ではなく「環境」に注目するのが重要
❌ 動機がなければ安全
→ ⭕ 機会があるだけでもリスク
👉 権限集中・チェック不足は要注意
まとめ(試験直前用)
- 不正は「動機・機会・正当化」の3つがそろうと起きる
- 対策は「どれか1つを断つ」視点で考える
- SG試験では「機会(統制の不備)」がよく問われる
- 技術対策だけでなく、教育・組織も含めて判断する
🔗 関連記事
- 情報資産台帳とは?リスク管理の出発点を整理【情報セキュリティマネジメント】
- 攻撃者の種類とは?目的と特徴で整理する【情報セキュリティマネジメント】
- 監査ログとは?不正検知と追跡の基本【SG試験】
- SG試験 ケース問題の解き方テンプレ【情報セキュリティマネジメント】
- ケース問題の解き方!CIAとリスク対応で考える実践手順【SG試験】