不正のトライアングル
「動機・プレッシャー」、「機会」、「正当化」という3つの要因のことで、すべてそろった場合に、内部不正は発生するとされている。内部不正を防ぐには、組織が対策できる機会と動機・プレッシャーを低減することが有効である。
「不正のトライアングル」とは、アメリカの犯罪学者ドナルド・R・クレッシーが提唱した理論。
動機・プレッシャー
処遇面の不満・借金による生活苦。 例えば、人事評価が低い・仕事量が多い・達成が難しいノルマの設定・不当な解雇。
機会
不正行為を行える状況。 例えば、 アクセス制限の未設定・重要な内部情報にアクセスできる人が必要以上に多い場合。
正当化
みずからを納得させる自分勝手な理由付け。 例えば、自分にとって都合のよい解釈・他人への責任転嫁・ 不満への報復。
ファイルの受渡し
ファイルの受渡しの際に、「パスワード付き圧縮ファイルをメールに添付して送り、あとで別メールでそのパスワードを送る」 という方法(PPAPともいう)を使った場合のリスクは、以下の通りである。
- パスワード付き圧縮ファイルとパスワードを同じ経路で送っているため、両メールを両方とも盗聴されるリスク。
- マルウェア対策ソフトにより、パスワード付き圧縮ファイル内をスキャンできず、マルウェアを検知できないリスク。
- ブルートフォース攻撃により、 パスワード付き圧縮ファイルのパスワードが推測されるリスク。
ファイルの受渡しへの対策
ファイルの受渡し時に盗聴されるリスクへの対策は、以下の通りである。
- メールサーバが、パスワード付き圧縮ファイルを受信した場合に、添付ファイルを削除し、 メール本文に「添付ファイルを削除しました」 などと追記してメール受信者に知らせる機能を使う。
- 認証機能のあるクラウドストレージにファイルを格納する。ファイル送信者はクラウドサービスに認証のうえ、ファイルを格納する。ファイル受信者は認証のうえ、そのファイルを入手する。
(参考)
情報処理教科書 出るとこだけ!基本情報技術者[科目B]第4版 橋本 祐史 (著) 翔泳社
コメント