sg sg-security-management it_security_operations security_training
まず結論
内部不正防止ガイドラインとは、組織内部の不正を防ぐための対策を体系的に整理した指針であり、SG試験では「原因(動機・機会・正当化)に対して適切な対策か」を判断させる問題が多いです。
直感的な説明
内部不正は「人の問題」だけではなく、「仕組みの問題」でもあります。
たとえば、
- 権限が広すぎる → できてしまう(機会)
- 不満がある → やる気になる(動機)
- バレないと思う → 正当化する
👉
こうした状況を放置すると、不正が起きやすくなります。
そこで
「人・組織・仕組み」すべてから対策するための指針が
内部不正防止ガイドラインです。
定義・仕組み
内部不正防止ガイドラインは、IPAが公表している
組織として内部不正を防止するための実践的な対策集です。
参考:
■ ガイドライン本文とチェックシート(重要)
ガイドラインは大きく次の2つで構成されています。
① ガイドライン本文
- 内部不正対策の考え方や具体的な対策例を解説
- 組織として何をすべきかを体系的に整理
👉
「どういう対策が必要か」を理解するための資料
② チェックシート
- 対策が実施できているかを確認するための一覧
👉
「自分の組織でできているか」を確認するためのツール
👉 重要ポイント
本文=考え方 / チェックシート=実施状況の確認
■ 基本の考え方(重要)
対策は単発ではなく、組織全体で継続的に実施することが前提です。
主な観点は次のとおりです。
■ 主な対策の分類
① 組織・ルール
- セキュリティポリシーの策定
- 就業規則・懲戒規定の整備
👉 正当化を防ぐ(ルールを明確にする)
② 人(教育・意識)
- セキュリティ教育・訓練
- 誓約書の取得
👉 正当化・動機を抑制する
③ 技術・仕組み
- アクセス管理(最小権限)
- ログ管理(証跡の確保)
- 持ち出し制御
👉 機会を減らす・発覚しやすくする
④ 運用・監査
- 定期的な点検
- 監査・レビュー
👉 継続的に改善する
■ 内部不正との関係(重要)
このガイドラインは、不正のトライアングルに対応しています。
| 要因 | 対策 |
|---|---|
| 動機 | 教育・職場環境 |
| 機会 | アクセス管理・監視 |
| 正当化 | 規程・倫理教育 |
👉
どの要因に効く対策かを意識することがSGでは重要です。
どんな場面で使う?
■ 使う場面
- 内部不正対策の全体設計
- ISMS運用
- 監査・リスクアセスメント
👉 SG試験では
「どの対策を取るべきか」を判断させる問題で使います。
■ 使うと誤解しやすい場面
-
技術対策だけで十分
→ 教育やルールも必要 -
教育だけで防げる
→ 機会があれば不正は起きる
よくある誤解・混同
❌ 「アクセス管理だけすればよい」
→ ⭕ それだけでは動機や正当化は防げない
❌ 「教育を強化すればよい」
→ ⭕ 機会を減らさないと意味がない
❌ 「一度対策すれば終わり」
→ ⭕ 継続的な見直しが必要
■ SG試験でのひっかけ
- 「対策の対象がズレている」
- 動機の問題なのに技術対策のみ
- 機会の問題なのに教育のみ
👉
「原因と対策が対応しているか」で判断する
まとめ(試験直前用)
- 内部不正防止ガイドライン=組織的な対策の指針
- 対策は「人・ルール・技術・運用」の組み合わせ
- 不正のトライアングルと対応している
- 単発ではなく継続的な運用が前提
- SGでは「原因と対策の対応関係」で選択肢を切る
ケース問題(内部不正防止ガイドライン)
ある企業では、営業担当者が顧客情報を私用のクラウドストレージに保存し、退職時にそのデータを持ち出してしまった。
調査の結果、以下の状況が確認された。
- 顧客データへのアクセス権が広く設定されていた
- 外部サービスの利用ルールが明確に定められていなかった
- ログは取得していたが、定期的な確認は行っていなかった
- セキュリティ教育は入社時のみで、その後は実施されていなかった
問題
この企業の対策として 最も適切なものはどれか。
選択肢
A. パスワードの複雑性を高める
B. アクセス権を業務に必要な範囲に限定する
C. ログの保存期間を延長する
D. 社員に対して注意喚起メールを送信する
▶ 答えを見る
**正解:B**▶ 解説を見る
### ■ 起きた原因 - アクセス権が広い → 機会の問題 - ルールがない → 正当化の問題 - 教育不足 → 正当化・動機 - ログ未確認 → 検知不足 --- ## ケース問題②(内部不正防止ガイドライン) ある企業では、経理担当者が長時間労働と評価への不満を抱えており、会計データを不正に書き換えていたことが発覚した。 調査の結果、以下の状況が確認された。 - 経理処理が特定の担当者に集中していた - 上司による業務状況の把握が不十分だった - 就業規則や懲戒規定はあったが、周知が十分ではなかった - セキュリティ教育は形式的で、内部不正の事例共有も行われていなかった --- ### 問題 この企業の対策として **最も適切なものはどれか。** --- ### 選択肢 A. 会計システムのパスワード桁数を増やす B. 内部不正の事例を含めた教育と周知を継続的に行う C. ログの保存期間を5年に延長する D. 外部からの不正アクセス対策としてファイアウォールを強化する ---▶ タップして答えを見る(SG頻出)
**正解:B**▶ タップして解説を見る
### ■ 起きた原因 - 評価への不満や長時間労働 → 動機の問題 - 規程の周知不足 → 正当化の問題 - 教育が形式的 → 正当化を弱められていない - 業務集中 → 機会の問題もある --- ### ■ 各選択肢の判断 - A:パスワード桁数の増加 → 認証強化であり、今回の主因である動機・正当化への対策としては弱い(✕) - B:教育と周知の継続実施 → 不正を正当化しにくくし、内部不正への意識を高める対策として適切(◎) - C:ログ保存期間の延長 → 記録の保持には役立つが、発生要因への直接対策ではない(△) - D:ファイアウォール強化 → 外部攻撃対策であり、内部不正の主因とはずれている(✕) --- ### ■ この問題のポイント 今回の軸は **「不満・規程周知不足・教育不足」=動機・正当化**です。 したがって、最も直接効く対策は **教育・周知・組織的な働きかけ**になります。 --- ### ■ SG試験のコツ - 原因が「機会」なのか「動機・正当化」なのかを先に分ける - 外部攻撃対策が出てきたら、内部不正の問題とずれていないか確認する - ログや保存期間のような“もっともらしい事後対策”に引っ張られないケース問題③(チェックシート活用)
ある企業では、内部不正防止ガイドラインのチェックシートを用いて、自社の対策状況を確認した。
その結果、以下の項目に不備があることが分かった。
- 特権IDの利用ルールが明確に定められていない
- 特権IDの利用ログは取得しているが、確認が行われていない
- 特権IDが複数人で共有されている
問題
この企業が 最優先で実施すべき対策はどれか。
選択肢
A. 特権IDのパスワードをより複雑にする
B. 特権IDの利用を個人ごとに割り当て、操作ログを定期的に確認する
C. 社員全体に対してセキュリティ教育を実施する
D. ログの保存期間を延長する
▶ タップして答えを見る(SG頻出)
**正解:B**▶ タップして解説を見る
### ■ 起きている問題 - 特権IDが共有されている → 誰が操作したか分からない - ログを確認していない → 不正を検知できない - ルールがない → 運用が曖昧 --- ### ■ 各選択肢の判断 - A:パスワード強化 → 認証の話であり、本質的な問題(共有・未監視)を解決できない(✕) - B:個人割当+ログ確認 → 誰が操作したか特定でき、かつ不正を検知できる(◎) - C:教育 → 補助的には有効だが、仕組みの問題が残る(△) - D:ログ保存期間 → 記録の保持であり、確認しない限り意味がない(✕) --- ### ■ この問題のポイント チェックシートは 👉 **「できていない対策を特定するためのツール」** --- 今回の本質は👇 - 管理されていない特権ID - 監視されていないログ 👉 **アクセス管理+ログ管理の不備** --- ### ■ SG試験のコツ - 「何が不足しているか」をまず特定する - その不足を直接補う対策を選ぶ - 教育・パスワード強化などの“それっぽい選択肢”に注意 --- 👉 **最も直接的に穴を埋める対策を選ぶ**🔗 関連記事
- アクセス管理とは?特権IDとneed-to-knowで権限を適切に制御【情報セキュリティマネジメント】
- 情報資産台帳とは?リスク管理の出発点を整理【情報セキュリティマネジメント】
- 監査ログとは?不正検知と追跡の基本【SG試験】
- 認証・アクセス制御まとめ|SSO・MFA・ゼロトラストを体系整理【情報セキュリティマネジメント】
- 認証方式とは?3要素と多要素認証を整理【SG試験】