sg sg-security-management it_security_operations security_training
まず結論
内部不正とは、組織内部の人が権限を悪用して行う不正行為であり、SG試験では「なぜ起きるか(動機・機会・正当化)」と「どう防ぐか」を判断させる問題が多いです。
直感的な説明
社内の人は「中にいる」ので、もともとシステムや情報にアクセスできます。
たとえば、
- 経理担当が自分の都合でデータを書き換える
- 退職予定の社員が顧客情報を持ち出す
外部攻撃よりも防ぎにくいのは、「信頼されている人がやる」からです。
👉 つまり
内部不正は「人の問題」と「仕組みの問題」が重なって起きると考えると理解しやすいです。
定義・仕組み
内部不正は、主に「不正のトライアングル」で説明されます。
■ 不正のトライアングル
-
動機(Motivation)
→ お金に困っている、不満がある など -
機会(Opportunity)
→ 1人で処理できる、チェックが甘い -
正当化(Rationalization)
→ 「これくらい問題ない」と思い込む
👉 この3つが揃うと、不正が起きやすくなります。
■ 対策の基本(状況的犯罪予防)
対策は「人を信じる」ではなく、仕組みで防ぐことが重要です。
-
機会を減らす
→ 権限分離、アクセス制御 -
発覚しやすくする
→ ログ管理、監査 -
抑止力を高める
→ 教育・規程整備(内部不正防止ガイドライン)
👉 SG試験では
「どの要素(動機・機会・正当化)に効く対策か」を判断できるかが重要です。
どんな場面で使う?
■ 使う場面
- 内部不正の原因分析
- 再発防止策の検討
- 監査やリスク評価
👉 特にケース問題で
「なぜこの不正が起きたか」を問われる場面で使います。
■ 使うと誤解しやすい場面
-
外部攻撃と混同する
→ 内部不正は「内部の人」が前提 -
技術対策だけで防げると思う
→ 人の心理(動機・正当化)も重要
よくある誤解・混同
❌ 「アクセス権を制限すれば防げる」
→ ⭕ 機会は減らせるが、動機や正当化は残る
❌ 「ログを取れば防げる」
→ ⭕ 事後検知はできるが、予防にはならない
❌ 「内部不正=悪意のある攻撃者」
→ ⭕ 不満やミスから発生するケースも多い
■ SG試験でのひっかけ
- 「対策の対象」がズレている選択肢
- 機会の問題なのに教育を強化している
- 動機の問題なのにアクセス制御だけしている
👉
どの要素に効く対策か?を基準に選択肢を切るのがポイントです。
まとめ(試験直前用)
- 内部不正は「内部の人による不正」
- 原因は「動機・機会・正当化」の3つ
- 対策は「仕組みで防ぐ」が基本
- SGでは「原因と対策の対応関係」を問われる
- 選択肢は「どの要素に効くか」で判断する
🔗 関連記事
- アクセス管理とは?特権IDとneed-to-knowで権限を適切に制御【情報セキュリティマネジメント】
- 情報資産台帳とは?リスク管理の出発点を整理【情報セキュリティマネジメント】
- 監査ログとは?不正検知と追跡の基本【SG試験】
- 認証・アクセス制御まとめ|SSO・MFA・ゼロトラストを体系整理【情報セキュリティマネジメント】
- 認証方式とは?3要素と多要素認証を整理【SG試験】