人的脅威(不正のトライアングル)【情報処理安全確保支援士講座】
今回は情報処理安全確保支援士で問われる人的脅威について解説します。
人的脅威
人的脅威には、大きく分けて「偶然起こってしまうもの」と「意図的に引き起こされるもの」があります。
それぞれの例と対策方法を確認しておきましょう。
偶発的な人的脅威
- 操作ミスやプログラミングのミス
- メールの送信ミス
- 社員や業者の持ち込みUSBや機器からの漏洩・データ破壊
- FWの設定ミス
偶発的な人的脅威は、システムの使用方法やセキュリティに関する規定の整備、教育・訓練の実施が考えられます。
意図的な人的脅威
- 金銭目的での情報持ち出し
- 退職した社員の不正侵入
- 組織に恨みがある者の怨恨
意図的な不正行為は、動機・機会・正当化の3つが揃ったときに発生すると言われています。
| 要因 | 具体例 |
| 動機 | 過剰なノルマ・金銭トラブル・怨恨 など不正行為のきっかけとなるもの |
| 機会 | 設定の不備・運用の不手際・ など不正行為を可能とする環境 |
| 正当化 | 「良心の呵責」を超え、不正行為を納得させる解釈や責任転嫁 |
意図的な脅威への対策は、入退室管理の徹底・アクセス制御・通信データの暗号化・監視システムの導入・アカウントやパスワードの管理徹底・教育の実施・罰則の適用などが挙げられます。
人的脅威が情報資産に及ぼす影響
人的脅威には種類が多く、影響も軽微なものから企業の存続に関わる重大なものまで様々です。
偶発的な脅威はある程度想定できたり被害を抑えられたりしますが、意図的な脅威は無限に考えられる上に発生頻度や被害の範囲を予測することが困難です。
人的脅威の例題
実際に例題を解いて問題に慣れていきましょう。
問題
ア:”機会”とは,情報システムなどの技術や物理的な環境及び組織のルールなど,内部者による不正行為の実行を可能,又は容易にする環境の存在である。
イ:”情報と伝達”とは,必要な情報が識別,把握及び処理され,組織内外及び関係者相互に正しく伝えられるようにすることである。
ウ:”正当化”とは,ノルマによるプレッシャーなどのことである。
エ:”動機”とは,良心のかしゃくを乗り越える都合の良い解釈や他人への責任転嫁など,内部者が不正行為を自ら納得させるための自分勝手な理由付けである。
(ログイン後回答すると、ここに前回の正誤情報が表示されます)
人的脅威・まとめ
人の脅威は、偶発的なものと意図的なものに分けられます。
さらに外部からの脅威と内部要因があり、外部からの脅威は直接対策が難しいため、予防・防止の機能を持つセキュリティ対策を施して脆弱性を対処するだけでなく、検知・追跡の機能を充実させることが重要です。
内部に関しては直接的な対策が可能なので、教育や監査などで抑止・抑制機能を高めつつ、業務プロセスやルールを徹底することで「動機」「機会」「正当化」を成立させないようにすることが重要です。
次回はセキュリティを共有する仕組みについて学習します。
